首页 新闻中心 工商档案 地理位置 行业动态
  • 首页
  • 新闻中心
  • 工商档案
  • 地理位置
  • 行业动态
  • 地理位置

    你的位置:开元ky888棋牌手机版网址 > 地理位置 > 黑客潜匿踪迹的六种编制

    黑客潜匿踪迹的六种编制

    发布日期:2022-08-07 09:49    点击次数:183

    CISO们拥有一系列接续改进的器材来协助缔造和阻止恶意流动:蕴含网络监控器材、病毒扫描顺序、软件身分阐发(SCA)器材、数字取证和事宜照顾(DFIR)经管规划等等。

    不过,网络安满是一场延续接续的攻防战,袭击者会延续发起新的寻衅。

    较老的技能,如隐写术——将蕴含恶意有用载荷在内的信息潜匿在其他良性文件(如图像)中的技能——也正在倒退,带来了新的兴许性。譬如,比来一名研究人员证明,纵然是推特也不克不迭幸免于隐写术,因为平台上的图像兴许被滥用来打包个中高达3MB的ZIP档案。

    然而,在我本身的研究中,我留心到除了应用混淆、隐写术和恶意软件打包技能之外,来日诰日的利诱染指者也常常行使非法服务、平台、协讲和器材来举行他们的流动。这让它们兴许与畸形的流量或流动混淆在一起,在人类阐发师和古板看来,这些流量或流动兴许是“洁净”的。

    下列是网络犯罪分子今后用来包庇踪迹的六种编制。

    滥用不会激发警报的可信平台

    这是安好业余人士在2020年就看到的一个罕见景象,并已蔓延到了今年。

    从渗透渗出测试服务和器材(如Cobalt Strike和Ngrok),到已直立的开源代码生态体系(如GitHub),再到图像和文本网站(如Imgur和Pastebin),仅在夙昔的几年里,袭击者就瞄准了一系列受信任的平台。

    平日,Ngrok会作为bug赏金实习或渗透渗出性测试名目标一部份,被有德性的黑客用来采集数据或为入站跟尾直立仿照隧道。但恶意动作者会滥用Ngrok来间接按部就班僵尸网络恶意软件,或是将非法通服气务跟尾到恶意服务器。在比来的一个例子中,SANS研究所的Xavier Mertens缔造白一个用Python编写的恶意软件样本,个中包孕了base64编码的代码,用于在应用了Ngrok的受净化体系上按部就班后门。

    因为Ngrok受到了普及的信任,近程袭击者可以或许经由过程Ngrok隧道来跟尾到受净化的体系,这兴许会绕过公司防火墙或NAT呵护。

    GitHub还被滥用来托管从Octopus Scanner到Gitpaste-12的恶意软件。比来,狡滑的袭击者滥用GitHub和Imgur联结应用了一个开源的PowerShell脚本,这使得他们有兴许在GitHub上托管一个俭朴的脚本,从一张良性的Imgur照片中剖析出Cobalt Strike的有用载荷。Cobalt Strike是一种流行的渗透渗出性测试框架,用于仿照行进先辈的着实网络袭击,但与任何安好软件产品同样,它也兴许被对手滥用。

    同样,开发人员寄托的自动化器材也不克不迭幸免于被行使。

    2021年4月,袭击者滥用GitHub Actions以数百个存储库为目标,发起了一场自动袭击,行使GitHub的服务器和资源举行了加密钱银的掘客。

    这些示例分化了为何袭击者觉得瞄准非法平台会有价钱,而不少防火墙和安好监控器材兴许还没法阻止这些平台。

    行使品牌价钱、声誉或出名度的上游袭击

    在SolarWinds爆出马脚今后,软件提供链安好成就兴许已经引发了群众的关注,然则这些袭击在一段时光内一贯在上升。

    不管因此拼写舛误、品牌劫持或是寄托混淆的模式(最初作为见解验证研究被缔造,但其后被滥用于恶意目标),“上游”袭击会行使已知合作搭档生态体系中的信任,并行使品牌或软件组件的受迎接程度或声誉。袭击者的目标是将恶意代码推送到与品牌相联络纠葛的可信代码库,尔后将代码散发到上流的终究目标:该品牌的合作搭档、客户或用户。

    任何对全体人开放的体系也会对对手开放。因而,不少提供链袭击的目标都是开源生态体系,而个中的一些生态体系为了维持“向全体人开放”的原则而没有举行严厉的验证。然而,商业构造也受到了这些袭击。

    在比来的一个案例中,有人将其比作SolarWinds事宜,软件测试公司Codecov透露了针对其Bash Uploader脚本的袭击,该袭击在两个多月内一贯未被缔造。

    Codecov拥有29000多家客户,蕴含一些知名的全球品牌。在这次袭击中,公司客户端应用的上传顺序被编削,将体系的情形变量(密钥、痛处和令牌)泄露给了袭击者的IP地点。

    进攻提供链袭击需求在多个方面采取动作。软件提供商需求加大投资来担保他们的开发版本的安好。基于AI和ML的devops经管规划兴许自动检测和阻止可疑的软件组件,有助于预防打字舛误、品牌劫持和寄托混淆袭击。

    其他,随着越来越多的公司采取Kubernetes或Docker容器来陈列他们的应用顺序,容器安好经管规划具有内置的网络应用顺序防火墙,并且兴许趁早缔造俭朴的设置舛误,地理位置这将有助于预防更大的毒害。

    经由过程难以追踪的编制举行加密钱银领取

    推敲到其分散和看重隐私的策画,Darknet marketplace的卖家和软件规画商常常买卖加密钱银。

    然则,尽管不是由政府核心银行铸造或掌握的,加密钱银仍然不足与现金沟通的匿名性。

    因而,网络犯罪分子找到了在账户间转移资金的翻新编制。

    比来,与2016年Bitfinex黑客事宜无关的价钱逾越7.6亿美元的比特币以多笔较小的买卖转移到了新账户,买卖金额从1 BTC到1200 BTC不等。

    加密钱银着实不是一种齐全缘木求鱼的潜匿资金踪迹的编制。2020年美国总统大选当晚,美国政府清空了一个价钱10亿美元的比特币钱包,内里装着与最臭名远扬的暗网市场“丝绸之路”无关的资金,该市场本身已于2013年初闭。

    其他的一些加密钱银,如门罗币(XMR)和Zcash(ZEC),在匿名买卖方面比比特币具有更普及的隐私呵护才能。毫无疑问的,随着袭击者接续寻找更好的编制来潜匿他们的踪迹,犯罪分子和考察人员之间的抵触将在这条战线上延续上来。

    应用民众通道和和谈

    像可信平台和品牌同样,非法应用顺序所应用的加密通道、端口和和谈为袭击者提供了另外一种包庇其足迹的编制。

    譬如,HTTPS和谈是现今网络宽泛不成或缺的和谈,因而,端口443(由HTTPS/SSL应用)在公司情形中很难被阻止。

    然而,HTTPS上的DNS(DoH)——一种剖析域的和谈——也应用端口443,并且被恶意软件作者滥用,将其敕令和掌握(C2)敕令传输到了受净化的体系。

    这个成就有两个方面。首先,经由过程滥用HTTPS或DoH等经常使用和谈,袭击者与非法用户同样享有端到端加密通道的隐私劣势。

    其次,这给网络打点员也带来了费力。阻止任何模式的域名体系本身就是一个寻衅,然则而今,鉴于域名体系申请和照顾会在HTTPS被加密,安好业余人员拦阻、遴选和阐发来自经由过程网络出入的不少HTTPS要求的可疑流量就成了一件麻烦事。

    研究人员Alex Birsan展现了寄托混淆技能,侵入了35家以上的大型科技公司,他兴许经由过程应用DNS(端口53)泄露根抵信息来最大限度地行进告成率。Birsan之所以抉择DNS,是因为出于性能要求和非法的DNS应用,公司防火墙不壅闭DNS流量的兴许性很高。

    应用签名的二进制文件运行混淆的恶意软件

    应用非外埠二进制文件(LOLBIN)的无文件恶意软件的罕见见解仍然是一种有用的规避技能。

    LOLBIN指的黑白法的、颠末数字签名的可执行文件,譬如微软签订的Windows可执行文件,袭击者可以或许滥用这些文件以提升的权限启动恶意代码,或许回避防病毒等端点安好产品。

    上个月,微软分享了一些企业可以或许采取的进攻技能指南,以预防袭击者滥用微软的Azure LOLBIN。

    在另外一个例子中,我阐发的比来才缔造的Linux和macOS恶意软件在全体领先的防病毒产品中具有完美的零检测率。

    在二进制文件中包孕混淆代码,这确凿有助于规避检测。然而,进一步的考察还体现,该恶意软件是应用数百个非法的开源组件构建的,并以与非法应用顺序沟通的编制举行的恶意流动,譬如获取打点权限。

    诚然混淆恶意软件、运行时打包顺序、虚拟机规避或在图像中潜匿恶意有用负载是低档利诱所应用的已知规避技能,但它们的真正威力来自于绕过安好产品或在它们的雷达下运行。

    当有用载荷兴许在某种程度上与可信软件组件、和谈、通道、服务或平台相联结时,这就成了兴许。

    用不罕见的编程言语编写恶意软件

    痛处BlackBerry Research and Intelligence团队的最新报告,恶意软件作者正在更多地应用不罕见的编程言语,以部份更好地回避检测。应用的次要言语有Go、D、Nim和Rust。

    这些言语以几种差别的编制添加了混淆。首先,用新言语重写恶意软件意味着基于签名的检测器材将再也不标记它(起码是在创立新签名从前)。其次,黑莓研究人员还默示,这些言语本身也起到了混淆层的浸染。譬如,用于解码、加载和陈列其他罕见恶意软件的第一阶段恶意软件是用一种不罕见的言语编写的,这将有助于回避端点检测。

    黑莓研究人员指出,而今很少有针对用这些言语编写的恶意软件的定制混淆。个中至多见的一种是Gobfuscate,用于应用Go编码的恶意软件。它兴许处理惩罚包、函数、范例和编制名,以及全局变量和字符串。