日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
黑客隱藏蹤跡的六種方式

CISO們擁有一系列不斷改進的工具來幫助發(fā)現(xiàn)和阻止惡意活動:包括網(wǎng)絡監(jiān)控工具、病毒掃描程序、軟件成分分析(SCA)工具、數(shù)字取證和事件響應(DFIR)解決方案等等。

創(chuàng)新互聯(lián)自2013年起,先為甘孜州等服務建站,甘孜州等地企業(yè),進行企業(yè)商務咨詢服務。為甘孜州企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

不過,網(wǎng)絡安全是一場持續(xù)不斷的攻防戰(zhàn),攻擊者會繼續(xù)發(fā)起新的挑戰(zhàn)。

較老的技術,如隱寫術——將包括惡意有效載荷在內的信息隱藏在其他良性文件(如圖像)中的技術——也正在發(fā)展,帶來了新的可能性。例如,最近一名研究人員證明,即使是推特也不能幸免于隱寫術,因為平臺上的圖像可能被濫用來打包其中高達3MB的ZIP檔案。

然而,在我自己的研究中,我注意到除了使用混淆、隱寫術和惡意軟件打包技術之外,今天的威脅參與者也經常利用合法服務、平臺、協(xié)議和工具來進行他們的活動。這讓它們能夠與正常的流量或活動混合在一起,在人類分析師和機器看來,這些流量或活動可能是“干凈”的。

以下是網(wǎng)絡犯罪分子當前用來掩蓋蹤跡的六種方式。

濫用不會引發(fā)警報的可信平臺

這是安全專業(yè)人士在2020年就看到的一個常見現(xiàn)象,并已蔓延到了今年。

從滲透測試服務和工具(如Cobalt Strike和Ngrok),到已建立的開源代碼生態(tài)系統(tǒng)(如GitHub),再到圖像和文本網(wǎng)站(如Imgur和Pastebin),僅在過去的幾年里,攻擊者就瞄準了一系列受信任的平臺。

通常,Ngrok會作為bug賞金練習或滲透性測試項目的一部分,被有道德的黑客用來收集數(shù)據(jù)或為入站連接建立模擬隧道。但惡意行為者會濫用Ngrok來直接安裝僵尸網(wǎng)絡惡意軟件,或是將合法通信服務連接到惡意服務器。在最近的一個例子中,SANS研究所的Xavier Mertens發(fā)現(xiàn)了一個用Python編寫的惡意軟件樣本,其中包含了base64編碼的代碼,用于在使用了Ngrok的受感染系統(tǒng)上安裝后門。

由于Ngrok受到了廣泛的信任,遠程攻擊者可以通過Ngrok隧道來連接到受感染的系統(tǒng),這可能會繞過公司防火墻或NAT保護。

GitHub還被濫用來托管從Octopus Scanner到Gitpaste-12的惡意軟件。最近,狡猾的攻擊者濫用GitHub和Imgur結合使用了一個開源的PowerShell腳本,這使得他們有可能在GitHub上托管一個簡單的腳本,從一張良性的Imgur照片中解析出Cobalt Strike的有效載荷。Cobalt Strike是一種流行的滲透性測試框架,用于模擬先進的真實網(wǎng)絡攻擊,但與任何安全軟件產品一樣,它也可能被對手濫用。

同樣,開發(fā)人員依賴的自動化工具也不能幸免于被利用。

2021年4月,攻擊者濫用GitHub Actions以數(shù)百個存儲庫為目標,發(fā)起了一場自動攻擊,利用GitHub的服務器和資源進行了加密貨幣的挖掘。

這些示例說明了為什么攻擊者認為瞄準合法平臺會有價值,而許多防火墻和安全監(jiān)控工具可能還無法阻止這些平臺。

利用品牌價值、聲譽或知名度的上游攻擊

在SolarWinds爆出漏洞之后,軟件供應鏈安全問題可能已經引起了公眾的關注,但是這些攻擊在一段時間內一直在上升。

無論是以拼寫錯誤、品牌劫持或是依賴混淆的形式(最初作為概念驗證研究被發(fā)現(xiàn),但后來被濫用于惡意目的),“上游”攻擊會利用已知合作伙伴生態(tài)系統(tǒng)中的信任,并利用品牌或軟件組件的受歡迎程度或聲譽。攻擊者的目標是將惡意代碼推送到與品牌相關聯(lián)的可信代碼庫,然后將代碼分發(fā)到下游的最終目標:該品牌的合作伙伴、客戶或用戶。

任何對所有人開放的系統(tǒng)也會對對手開放。因此,許多供應鏈攻擊的目標都是開源生態(tài)系統(tǒng),而其中的一些生態(tài)系統(tǒng)為了堅持“向所有人開放”的原則而沒有進行嚴格的驗證。然而,商業(yè)組織也受到了這些攻擊。

在最近的一個案例中,有人將其比作SolarWinds事件,軟件測試公司Codecov披露了針對其Bash Uploader腳本的攻擊,該攻擊在兩個多月內一直未被發(fā)現(xiàn)。

Codecov擁有29000多家客戶,包括一些著名的全球品牌。在這次攻擊中,公司客戶端使用的上傳程序被修改,將系統(tǒng)的環(huán)境變量(密鑰、憑據(jù)和令牌)泄露給了攻擊者的IP地址。

防范供應鏈攻擊需要在多個方面采取行動。軟件提供商需要加大投資來保證他們的開發(fā)版本的安全?;贏I和ML的devops解決方案能夠自動檢測和阻止可疑的軟件組件,有助于防止打字錯誤、品牌劫持和依賴混淆攻擊。

此外,隨著越來越多的公司采用Kubernetes或Docker容器來部署他們的應用程序,容器安全解決方案具有內置的網(wǎng)絡應用程序防火墻,并且能夠及早發(fā)現(xiàn)簡單的配置錯誤,這將有助于防止更大的危害。

通過難以追蹤的方法進行加密貨幣支付

考慮到其分散和注重隱私的設計,Darknet marketplace的賣家和軟件運營商經常交易加密貨幣。

但是,盡管不是由政府中央銀行鑄造或控制的,加密貨幣仍然缺乏與現(xiàn)金相同的匿名性。

因此,網(wǎng)絡犯罪分子找到了在賬戶間轉移資金的創(chuàng)新方法。

最近,與2016年Bitfinex黑客事件有關的價值超過7.6億美元的比特幣以多筆較小的交易轉移到了新賬戶,交易金額從1 BTC到1200 BTC不等。

加密貨幣并不是一種完全萬無一失的隱藏資金蹤跡的方法。2020年美國總統(tǒng)大選當晚,美國政府清空了一個價值10億美元的比特幣錢包,里面裝著與最臭名昭著的暗網(wǎng)市場“絲綢之路”有關的資金,該市場本身已于2013年關閉。

其他的一些加密貨幣,如門羅幣(XMR)和Zcash(ZEC),在匿名交易方面比比特幣具有更廣泛的隱私保護能力。毫無疑問的,隨著攻擊者不斷尋找更好的方法來隱藏他們的蹤跡,犯罪分子和調查人員之間的沖突將在這條戰(zhàn)線上繼續(xù)下去。

使用公共通道和協(xié)議

像可信平臺和品牌一樣,合法應用程序所使用的加密通道、端口和協(xié)議為攻擊者提供了另一種掩蓋其足跡的方式。

例如,HTTPS協(xié)議是當今網(wǎng)絡普遍不可或缺的協(xié)議,因此,端口443(由HTTPS/SSL使用)在公司環(huán)境中很難被阻止。

然而,HTTPS上的DNS(DoH)——一種解析域的協(xié)議——也使用端口443,并且被惡意軟件作者濫用,將其命令和控制(C2)命令傳輸?shù)搅耸芨腥镜南到y(tǒng)。

這個問題有兩個方面。首先,通過濫用HTTPS或DoH等常用協(xié)議,攻擊者與合法用戶一樣享有端到端加密通道的隱私優(yōu)勢。

其次,這給網(wǎng)絡管理員也帶來了困難。阻止任何形式的域名系統(tǒng)本身就是一個挑戰(zhàn),但是現(xiàn)在,鑒于域名系統(tǒng)請求和響應會在HTTPS被加密,安全專業(yè)人員攔截、挑選和分析來自通過網(wǎng)絡進出的許多HTTPS請求的可疑流量就成了一件麻煩事。

研究人員Alex Birsan展示了依賴混淆技術,侵入了35家以上的大型科技公司,他能夠通過使用DNS(端口53)泄露基本信息來最大限度地提高成功率。Birsan之所以選擇DNS,是因為出于性能要求和合法的DNS使用,公司防火墻不阻塞DNS流量的可能性很高。

使用簽名的二進制文件運行混淆的惡意軟件

使用非本地二進制文件(LOLBIN)的無文件惡意軟件的常見概念仍然是一種有效的規(guī)避技術。

LOLBIN指的是合法的、經過數(shù)字簽名的可執(zhí)行文件,例如微軟簽署的Windows可執(zhí)行文件,攻擊者可以濫用這些文件以提升的權限啟動惡意代碼,或者逃避防病毒等端點安全產品。

上個月,微軟分享了一些企業(yè)可以采用的防御技術指南,以防止攻擊者濫用微軟的Azure LOLBIN。

在另一個例子中,我分析的最近才發(fā)現(xiàn)的Linux和macOS惡意軟件在所有領先的防病毒產品中具有完美的零檢測率。

在二進制文件中包含混淆代碼,這確實有助于規(guī)避檢測。然而,進一步的調查還顯示,該惡意軟件是使用數(shù)百個合法的開源組件構建的,并以與合法應用程序相同的方式進行的惡意活動,例如獲得管理權限。

雖然混淆惡意軟件、運行時打包程序、虛擬機規(guī)避或在圖像中隱藏惡意有效負載是高級威脅所使用的已知規(guī)避技術,但它們的真正威力來自于繞過安全產品或在它們的雷達下運行。

當有效載荷能夠在某種程度上與可信軟件組件、協(xié)議、通道、服務或平臺相結合時,這就成為了可能。

用不常見的編程語言編寫惡意軟件

根據(jù)BlackBerry Research and Intelligence團隊的最新報告,惡意軟件作者正在更多地使用不常見的編程語言,以部分更好地逃避檢測。使用的主要語言有Go、D、Nim和Rust。

這些語言以幾種不同的方式增加了混淆。首先,用新語言重寫惡意軟件意味著基于簽名的檢測工具將不再標記它(至少是在創(chuàng)建新簽名之前)。其次,黑莓研究人員還表示,這些語言本身也起到了混淆層的作用。例如,用于解碼、加載和部署其他常見惡意軟件的第一階段惡意軟件是用一種不常見的語言編寫的,這將有助于逃避端點檢測。

黑莓研究人員指出,目前很少有針對用這些語言編寫的惡意軟件的定制混淆。其中最常見的一種是Gobfuscate,用于使用Go編碼的惡意軟件。它能夠處理包、函數(shù)、類型和方法名,以及全局變量和字符串。


網(wǎng)頁名稱:黑客隱藏蹤跡的六種方式
本文網(wǎng)址:http://m.5511xx.com/article/cosocde.html