目标攻击?
三角措施:最后的谜团
去年6月,正式发布了一系列关于 " 三角行动 " 的报告,这是一个以前不为人知的iOS恶意软件平台,通过零点击iMessage错误传播,让攻击者浏览和修改设备文件,获得关键链中储存的密码和文件,检索地理信息,实施其他模块,从而扩大对受感染设备的控制。
1999年底,全球研究和分析小组的专家详细介绍了攻击链,以及攻击者第一次如何利用CVE-2023-38606硬件缺口。
最近的iPhone模式包含额外的基于硬件的安全保护,即使攻击者能够读写内核记忆,也无法完全控制设备——正如在使用CVE-2023-32434空隙进行攻击时所实现的那样。
攻击者利用苹果公司设计的System System(System System)的另一个硬件特征,绕过这种硬件安全:他们把数据、目标地址和数据Hashi写成一个未知的硬件库,存放了未使用的固体碎片。
目前假定这一未知的硬件功能可能是设计用于调试或测试目的,或因错误而添加。 由于固体不使用,不知道攻击者是如何学会使用它的。
检测潜在的iOS恶意软件的轻型方法
过去几年来,研究人员分析了Pegasus恶性软件在多个iOS装置上的传播情况,分析iOS移动感染的常用方法是检查加密的完整iOS备份或分析受影响设备的网络流量,但这两种方法都耗费时间,需要高水平的专门知识,这促使安全研究人员寻找更快、更简单的方法来识别潜在的iPhone感染。
在分析过程中,安全研究人员在意外系统日志关闭中发现了感染的痕迹。
这是一个基于文字的系统日志文件, 可用于每个移动iOS 设备。 每个重新启动事件都会记录在本文件中, 并包含多个环境特征: 这些日志文件几年前就可以包含条目, 并提供了大量信息 。
关闭. log 文件存储在 sysdiagnose (sysdiag) 归档中, 它可以被视为为调试和排除故障而生成的系统日志和数据库的集合。 生成 sysdiag 的方法可能因iOS 版本而不同。 但是, 此归档通常位于操作系统的正常设置中, 具体在 " 隐私和分析 " 下( 准确位置名称可能因iOS版本而不同) 。
创建归档通常只需要几分钟时间。 结果为 a.TAR.GZ 文件, 大小约为200- 400MB, 然后可以转移到分析机。 一旦归档未压缩, 关闭. log 文件就位于系统_logs.logargiveExtra 目录中 。
这种系统诊断垃圾处理分析是一种侵入性最小、资源密集度低的方法,它利用系统工作来确定可能的iPhone感染,可以用来补充不同角度的感染识别。
DinodasRT Linux全球实体植入方案
2023年10月初,在ESEET发表了一篇关于一次名为 " 贾卡纳行动 " 的活动的文章,供Windows用户使用之后,研究人员发现了一个新的Linux版本的Dinodasrat(又称XDealer)。
代码和网络 IoC(入侵指标)与ESET描述的袭击圭亚那政府实体的Windows样本重叠,样本工作表明,该版本(基于侵略者版本控制系统V10)可能自2022年以来一直在运行,尽管第一个已知的Linux变体(V7)尚未公开描述,可追溯到2021年。
DinodasRT是一个多平台的后门,提供以C++写成的多重功能。 该RAT允许攻击者监控目标计算机并收集敏感数据。 后门功能完全正常,操作者能够完全控制被感染的机器,从而允许数据泄漏和间谍活动。
DinodasRT Linux植入物主要用于红帽子配送和Ubuntu Linux。 根据遥测数据,自2023年10月以来,这一威胁一直受到持续监测,受影响最严重的国家和地区是中国、土耳其和乌兹别克斯坦。
其他恶意软件
新的后门马科斯盗取加密钱包
去年12月,在盗版网站和被感染的木马代理人中,出现了一些破译的应用。 最近,安全研究人员发现了一个新的Macos恶意软件家族,他们用破译的软件窃取加密钱包。
断裂应用程序是攻击者将恶意软件植入人电脑的最简单方法之一:为了提高访问率,他们只需要要求密码,而密码在安装软件时通常不会引起怀疑。
然而,恶意软件攻击者提出的一些问题非常聪明,例如将他们的Python脚本放在DNS服务器的域域 TXT 记录中。该脚本后来被添加到启动代理器中,在无限制的循环中下载和执行下一个阶段的有效载荷,以便恶意软件操作员能够根据需要更新被感染的机器。最后的有效载荷是一个后门,可以使用管理员的特权运行脚本,并用被感染的版本取代Exodus和Bitcoin加密钱包应用程序,在钱包解锁时窃取秘密恢复短语。
Coyote:多阶段银行旋转木马
银行木马开发商一直在寻找分配植入方案的新途径。 在最近的一次调查中,研究人员发现了一个新的恶意软件,名为“coyote ” ( Coyote ), 其对象是60多个主要来自巴西的银行机构的客户。
提请观察员注意其复杂的感染链,它使用各种先进技术将其与其他银行马区分开来。 Coyote不使用德尔菲或MSI安装程序进行分配,而是使用较新的工具安装和更新称为Squirrel的Windows桌面应用程序。 这样,恶意软件作者就想将马伪装成最新的包装软件。
当 Squirrel 执行时, 它最终会运行一个与 Electric 一起编译的 NOdeJS 应用程序。 此应用程序会将本地文件夹中所有可执行文件复制到用户视频文件夹中的抓取文件夹: 然后运行此目录的签名应用程序 。
感染链中一个有趣的元素是使用 Nim (一种较新的编程语言) 来装载最后阶段。 装载器的目的是将. NET 可执行文件降压并在 CLR 内存中执行。 这意味着装载器的设计是要装入可执行文件, 并在过程中执行, 这提醒 Donnut 的工作方式 。
上述所有步骤完成后,科约特木马病毒被处决。
Coyote 事故链
Coyote 骑师的目标与典型的银行骑师相同。 他们监测感染系统的所有公开应用,等待用户访问特定的银行应用软件或网站。
利用QEMU进行网络隧道传输
网络攻击者往往使用合法工具避免探测系统,并尽量减少开发成本。网络扫描、捕获过程的存储、数据泄漏、远程运行文件,甚至加密驱动器 -- -- 所有这些都可以通过可信赖的软件进行。
为了确定和对受感染的基础设施发动攻击,攻击者可使用先前安装的恶意软件,或通过公司的RDP服务器或公司的VPN与网络连接(为此目的,攻击者必须有权进入经适当授权的账户)。
连接被攻击组织内部网络的另一种方式是使用实用程序在公司系统和对手服务器之间建立网络隧道,或者将网络端口向前推进,以便攻击者绕过NT和防火墙进入内部系统。 有许多实用程序可以用来在两个系统之间建立网络隧道,有些直接连接,而另一些则用代理来隐藏攻击者服务器的IP地址。
在调查一家大公司的事件时,研究人员注意到其中一个系统内不寻常的恶意活动,在分析这些碎片后发现攻击者已经部署并启动了(a) 愤怒IP扫描器网络扫描程序,(b) 米米卡茨密码,哈希和克尔贝罗斯票卡提取器和主动目录攻击工具,以及(c) QEMU硬件模拟器。
虽然前两种不言自明,但QEMU提出了问题;威胁分子在虚拟化器中使用什么?
我们发现QEMU支持虚拟机器之间的连接:Netdev选项创建网络装置(后端),然后连接到虚拟机器。 由于无法可靠地确定攻击者如何用自己的服务器运行QEMU,研究人员决定建立一个由三个系统组成的床,如下:
· " 内部霍斯特 " 位于网络内,没有互联网接入,在3389港运行RDP服务器,模拟无法进入互联网的隔离系统。
网络内有“主机”, 但它可以进入互联网。 它模拟攻击者打破的系统, 并使用它进入内部主机 。
......... 主机在云中,模拟对方的服务器。
目标是从攻击者服务器到达国际旅馆。下图显示了隧道的总体布局:
网络隧道图
虽然使用合法工具实施各种袭击步骤对事件应对专业人员来说并非新鲜事,但QEMU的情况就是如此,在那里,袭击者有时会提出一些出乎意料的复杂软件应用,还突出表明需要多层次的保护,包括可靠的最终保护,以及发现和防止人为袭击等复杂和有针对性的袭击的专门解决办法。
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
发表评论