安全是有分量的

ddos清洗_海外高防服务器哪家好_快速接入

2022-06-22 01:20栏目:方案

ddos清洗_海外高防服务器哪家好_快速接入

安全研究人员揭开了难以捉摸的InvisiMole网络间谍集团攻击链的神秘面纱,揭示了一种复杂的多阶段格式,局域网内ddos防御,它依赖于易受攻击的合法工具、特定目标的有效载荷加密和秘密通信。

InvisiMole通过Gamaredon进入目标网络,Gamaredon是一个与俄罗斯有联系的威胁参与者,负责执行侦察行动并识别有价值的系统。

这两个攻击集团已经运作了至少七年,尽管他们进行了合作,防御ddos攻击服务器,但由于攻击战术和技术的明显差异,防御cc免费工具,他们被视为不同的威胁行为体。

攻击链中使用的合法工具

InvisiMole恶意软件在2018年首次公开记录,被归类为来源不明的复杂间谍软件,可以跟踪受害者的地理位置、通过网络摄像头进行间谍、截图、录音和窃取文档。

最近发现的版本还使用媒体传输协议(MTP)从连接到受感染计算机的手机上窃取照片。

ESET恶意软件研究员Zuzana Hromocová在ESET虚拟世界安全会议上介绍了在调查2019年9月开始并继续活跃的活动后重建的多阶段攻击链的概况。

通过与受害者合作,研究人员能够映射四条执行链,根据受损机器上的权限级别和安装的Windows版本使用。最长的一个需要六个步骤才能部署最终有效载荷。

为了使操作不被发现,威胁参与者使用合法工具的易受攻击的可执行文件,如Total Video Player、SpeedFan实用程序或wdigest。Windows中的dll。

InvisiMole还使用了一种从CIA Vault 7文档泄漏中泄露的技术,该技术使用控制面板来执行恶意软件。

但是,这些预防措施还不够,因为威胁参与者还使用Windows中的数据保护API(DPAPI)加密了链中的一些有效载荷,如何设置ddos防御,以加密和解密攻击链中的有效载荷。

DPAPI用于保护敏感数据,如web浏览器存储的密码,并与机器的登录凭据绑定。这意味着数据只能在最初加密的主机上解密,从而使ESET的调查更加困难。

新的TCP和DNS下载程序

Hromocová在今天的一篇博客文章中指出,只有网络上的部分计算机才会感染InvisiMole。分类很可能是由Gamaredon完成的,它还从InvisiMole删除了更复杂的恶意软件。

Gamaredon使用矛式网络钓鱼获得对目标和目标的访问权。NET下载程序,导致丢弃InvisiMole多级攻击中使用的易受攻击的可执行文件。

根据ESET的研究,InvisiMole继续依赖2018年分析的两个后门(RC2CL和RC2FM),但增加了新的功能,一个更简单的TCP下载程序和一个更隐蔽的DNS下载程序。

两者都用于在新感染后从命令和控制(C2)服务器获取组件,但后者"长期使用,允许攻击者推送更新。"

DNS downloader使用DNS隧道的自定义实现隐藏与C2的通信,允许在DNS查询和回复中秘密交换信息。

轻描淡写的网络

就通过网络传播而言,Hromová说InvisiMole利用RDP协议中的BlueKeep漏洞(CVE-2019-0708)和微软服务器消息块(SMBv1)中CVE-2017-0144漏洞的永恒蓝色漏洞进行攻击。

第三种方法是将受害者网络上的文档和软件安装程序武器化。通过这种方式,用户可以共享或访问受感染的项目,而无需质疑其来源。

据研究人员称,所调查的活动对攻击者来说并不成功。赫罗科娃说,在一个被InvisiMole破坏的组织中,高防亚洲cdn,当ESET介入时,超过8000份文件准备被过滤,数十台计算机被感染。

这家安全公司准备了一份关于新发现的InvisiMole工具集的综合报告。它提供了妥协的指标和深入的技术细节,说明威胁行为人如何设法在网络中移动,并在未被发现的情况下滑倒。