无文件攻击暴增 1400%
根据Aqua Security最新发布的报告,过去六个月的蜜罐汇总数据显示,超过50%的攻击采用了检测规避技术。 攻击者擅长绕过无代理方案 这些能逃避检测的攻击技术包括伪装技术(例如从/tmp执行的文件)以及混淆的文件或信息(例如动态加载代码)。此外,在5%的攻击中,攻击者使用了内存驻留恶意软件。与2022年的研究相比,无文件攻击暴增1400%。这清楚地表明,攻击者现在更加关注如何避免被发现,以便在受感染的系统中建立更牢固的立足点。 Aqua Security的报告指出:“攻击者更加青睐和善于绕过无代理检测解决方案。”“最有说服力的证据就是HeadCrab,这是一种极其复杂、隐蔽、基于Redis的恶意软件,已入侵了超过1200台服务器。当谈到运行时安全性时,只有基于代理的扫描才能检测到此类规避基于卷的扫描技术的攻击。” 云计算彻底改变了企业设计、开发、部署和管理应用程序的方式。虽然这带来了许多好处,例如可扩展性、灵活性和敏捷性,但也带来了自身固有的复杂性。随着企业IT向云原生架构的转变,攻击面显著扩大,引入了大量新的安全风险。 保护运行时环境至关重要 保护运行时环境需要至少一种监控方法,包括扫描已知的恶意文件和网络通信,发出警报并阻止其活动,但这仍然是不够的。好的解决方案还应该包括对恶意行为指标的监控,例如未经授权尝试访问敏感数据、尝试在提升权限时隐藏进程以及向未知IP地址打开后门等行为。 报告还强调了软件供应链风险,阐述了云软件供应链中可能受到攻击并对组织构成重大威胁的各个领域。例如,软件供应链中配置错误导致的严重威胁。这一点很重要,因为各种规模的企业都面临着配置错误的风险,甚至轻微的配置错误也可能产生严重影响。 转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/UbIPZHGZS1v47LM26KuayQ 封面来源于网络,如有侵权请联系删除
Process Doppelgänging 新型攻击技术 Bypass 多款主流杀软
12 月 8 日在 BlackHat 2017 欧洲(伦敦)会场上,来自 Ensilo 的安全研究人员介绍了一种名为 Process Doppelgänging 的新型代码注入技术,能够成功绕过多数杀毒软件和安全软件,从 Windows Vista 到最新版本的 Windows 10,几乎所有 Windows 版本中都可以运行 Process Doppelgänging 技术。 Bypass 多数杀毒软件 研究人员进行的测试结果显示,Process Doppelgänging 技术能够成功 Bypass 多家杀毒软件,如 Windows defender、AVG、卡巴斯基、Avast、360、McAfee 等。同时,研究人员表示使用 Process Doppelgaynging 技术运行著名的密码窃取实用程序 Mimikatz 也都没有被检测出,也说明该技术能够规避大多数防病毒软件的检测。 新型无文件攻击手法 据演讲者介绍,该技术是一种无文件的代码注入方法,利用了一个内置的 Windows 函数和一个未经注册的 Windows 进程加载程序实现攻击。研究显示,Process Doppelgienging 与另一种称为 Process Hollowing 的技术相似,但后者依赖于 Windows NTFS 事务处理机制,攻击者可以借助 Process Hollowing 技术,在内存中使用恶意代码代替合法进程,从而规避安全软件。目前所有的现代安全软件都能够检测到 Process Hollowing 技术的攻击,然而 Process Doppelgienging 利用的是 Windows NTFS 事务处理机制以及一种为 Windows XP 设计的老式 Windows 进程加载器进行攻击,能够成功避开多数防病毒软件检测。 来自 Ensilo 的安全研究人员 Tal Liberman 和 Eugene Kogan在会场上演示了这一过程。他们将 Process Doppelgänging 无文件攻击分为四个步骤: 1、处理 -将一个合法的可执行文件转换为 NTFS 事务,然后用恶意文件覆盖它。 2、加载 -从修改的(恶意)文件中创建一个内存段。 3、回滚-回滚事务(故意使事务失败),从而导致合法可执行程序的所有更改以一种从未存在的方式被删除。 4、推动 – 使用旧的 Windows 进程加载器来创建一个具有先前的内存段的进程(在第 2 步中),这实际上是恶意的,从来没有保存到磁盘,这将使它在大多数记录工具如现代的 EDRs 中不可见。 安全专家表示,该技术旨在允许恶意软件在目标机器上的合法进程中运行任意代码(包括已知的恶意代码),虽然非常类似于 Process Hollowing,但带有新颖的转变。Process Doppelgänging 的挑战是不使用类似 SuspendProcess、NtUnmapViewOfSection 这样的可疑进程和内存操作。 为完成挑战,安全研究人员利用了 NTFS Transaction,并在事务的上下文中覆盖了一个合法的文件。随之,从修改后的文件( 事务的上下文 )中定义了一个部分并从中创建了一个进程。此外,研究人员发现,在事务中扫描文件是他们迄今为止检查的供应商不可能做到的,而且由于回滚事务,活动并没有留下任何痕迹。 NTFS Transaction 是 Windows 的一个特性,用于将事务整合到 NTFS 文件系统中,使应用程序开发人员更容易处理错误并保持数据完整性,还可以管理文件和目录。并且 NTFS Transaction 也是一个独立的空间,允许 Windows 应用程序开发人员编写文件输出例程,而这些例程的结果可以重构为失败或成功的状态。 几乎 “秒杀” 所有 Windows 版本 研究人员Liberman 表示,Process Doppelgienging 技术即使在最新版本的 Windows 10 上也能够运行,除了今年早些时候发布的 Windows 10 Redstone 和 Fall Creators Update 之外,因为在这些后来的版本中,Process Doppelgienging 攻击触发了蓝屏死机( BSOD )。幸运的是,由于需要知道关于进程创建时大量无事实证明的细节,所以在处理 Process Doppelgänging 攻击方面具有技术挑战性。然而坏消息是,因为利用了 Windows 系统的基本特性和过程加载机制的核心设计,所以攻击并不能修补。 更多阅读:BlackHat Europe 2017 ( 12 月 6 日– 7 日简报) 消息来源:Security Affairs,编译:榆榆,译审:青楚、FOX,终审:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。
“无文件攻击”威力初显:仅需一夜轻松窃走俄罗斯 ATM 80 万美元
据卡巴斯基安全实验室消息,黑客通过新型恶意软件 “ATMitch” 采用“无文件攻击”方式,一夜之间成功劫持俄罗斯 8 台 ATM 机窃走 80 万美元。 这起网络劫持事件成功引起了安全专家的注意,他们在分析闭路电视录像时发现一名男子至 ATM 机旁并未与机器交互即可获取现金。据悉,受影响银行的安全团队并未发现任何恶意软件入侵迹象,唯有一家目标银行表示曾在 ATM 中发现两份入侵日志: “Take the Money Bitch!” “Dispense Success.” 卡巴斯基 2017 年 2 月就 “ATMitch” 恶意软件发布分析报告表示,黑客曾利用恶意软件 ATMitch 攻击 140 家机构,其中包括银行、电信公司与 40 余家政府单位。 银行安全团队表示,他们不仅发现 Microsoft 域控制器( DC )的物理内存中存在其代码副本,还发现黑客将恶意代码直接注入受感染内存中与恶意软件一同在 RAM 系统中运行。目前卡巴斯基安全专家已将该此类恶意软件标记为 MEM:Trojan.Win32.Cometer 与 MEM:Trojan.Win32.Metasploit。 近期,在圣马丁举行的卡巴斯基安全分析高峰会期间,安全专家 Sergey Golovanov 和 Igor Soumenkov 提供了两家俄罗斯银行 ATM 机被黑客攻击的进一步调查。安全专家表示,该恶意软件首次在俄罗斯和哈萨克斯坦被发现。攻击者通过 SSH 隧道连接 ATM 机、安装恶意代码,并指示 ATM 机分配现金。由于恶意软件 ATMitch 利用机器现有的合法工具远程发送命令以分配资金,所以只需几秒即可快速运行,致使清空 ATM 机而不留痕迹。 安全专家强调,为避免触发警报,攻击者在 ATM 上钻出高尔夫球大小的洞孔,通过物理方式访问 ATM 机面板获取钞票。 研究人员提醒设备制造商与银行,黑客已横跨俄罗斯和欧洲银行对其采取 “ATM 电钻攻击”。目前不能确定攻击 ATM 机背后的具体犯罪团伙,但他们注意到攻击使用的源代码中包含俄语内容。此外,卡巴斯基发现该黑客组织使用的技术方法与网络犯罪团伙 Carbanak 和 GCMAN 存在相似之处。 原作者:Pierluigi Paganini , 译者:青楚 ,审核:狐狸酱 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。