Turla Apt Group Beefs Up Cyber​​攻击工具
Windows Server 2019仍释放Limbo
英国公共部门需要优先考虑移动设备安全性
CIO采访:加里脚,Cio,Rich Energy Haas F1
WWDC:你需要知道与苹果登录的内容
为什么亚马逊可能希望成为美国的下一个移动运营商
英国政府推动数据驱动的议程
中国公司秘密拥有的顶级VPN
APAC专家权衡网络安全趋势
家庭办公室手EE额外£220米为ESN
4大,脂肪,讨厌的Android Q手势问题
我们了解到苹果汽车项目的20件事
思科将语音转录与Voicea购买
Techuk说,5G移动网络转型为健康和社会护理
邮局任命新的首席信息官
谷歌的应用程序重新设计真的让我感到沮丧
ASOS试验AR CTWALK技术
微软与新加坡政府培训推动的团队
莫斯科2019初创村奖励创新
创新驱动器代理对网络安全
Android升级报告卡:在馅饼上分级制造商
最终第二篇邮局地平线试验结束
Microsoft在移动设备上运行Edge的企业用户增加了更多原因
HMRC使云和数据进展
工作部的数字院长和养老金获得了延期
Wi-Fi带有Li-Fi Office Lighting的范围
在F5的网络安全剧本中
谷歌云扩展数据中心,以便与ATOS交付托管Oracle数据中心服务
是时候阻止Windows自动更新 - 对于Win10 Pro的新扭曲
Facebook耸耸肩罚款50亿美元,报道强劲的季度
DCMS将现金增加到5G测试后基金并移动以缓解规划法
IBM,Chainyard揭开基于区块链的“信任您的供应商网络”
虽然我们正在看好莱坞,Apple将Swift 5放入Xcode
HPE重申专注于边缘计算
勇敢的浏览器首次亮相工作蝙蝠 - 广告概念
CIO采访:Lee Wilmore,TI Media数据智能总监
维珍大西洋伙伴与埃森哲为货物管理带来自助服务能力
BT挑选规范Ubuntu来构建5G核心
消费者Comms提供商签署Com的新公平承诺
Ofcom为移动用户带来了新的保护
Microsoft将竞争对手浏览器连接到Windows 10的应用程序警卫
英国公司需要满足风险的用户习惯
麻省理工学院,斯坦福等人建立区块链接支付网络到竞争对手的visanet
FA签署谷歌云以支持基于云的推动,使足球更加包容
kB 4462923发生了什么,10月Win7每月汇总?
块链条如何杀死密码
联合国决议忽略特别报告员的呼吁停止销售
Apple宣布了一个新的iPhone(你不能拥有它)
欧洲PC业务由Windows 10刷新提升
Apple解决iPad-to-Mac应用程序的可移植性
您的位置:首页 >产品 > 商业评论 >

Turla Apt Group Beefs Up Cyber​​攻击工具

2021-08-30 16:44:04 [来源]:

根据网络安全公司ESET的研究人员,Turla Cyber​​ Espionage集团使用的基于新的PowerShell的工具提高了本集团的持久性和隐身能力。

Turla,也称为Snake,现在正在使用PowerShell脚本,它提供直接,内存加载和执行恶意软件可执行文件和库。

Microsoft PowerShell是IT管理员常用的合法脚本语言,用于突出系统并自动执行管理任务。

这意味着使用基于PowerShell的工具使攻击者能够绕过当磁盘上丢弃恶意可执行文件时触发的所有安全控件。

PowerShell和其他无丝克的使用是通过网络攻击者的普及,作为通过避免使用传统恶意软件文件来启动攻击的攻击方式。

Turla以复杂的恶意软件而闻名,据信自2008年以来,它遭到违反美国军方时一直在运营。它还参与了对欧洲和中东政府实体的重大攻击,包括德国外国办事处和法国军队。

最近,ESET研究人员使用PowerShell脚本检测到东欧的外交实体攻击若干袭击。

“很可能与其他传统的Turla目标全球使用相同的脚本,”ESET研究员Matthieu Faou说。

“以及Turla的新PowerShell Loader,我们发现并分析了几个有趣的有趣机床,包括RPC [远程过程调用] - 基于后门和PowerShell BackDoor利用Microsoft的云存储服务,Onedrive,作为其命令和控制[C&C]服务器。“

通过伞形名称PowerShell / Turla检测到的PowerShell装载机,与其在系统中持续存在的简单滴定器中,因为它们仅在系统中仅加载到内存中嵌入的可执行文件时。

在一些示例中,ESES研究人员发现,Turla开发人员修改了他们的PowerShell脚本来绕过Windows Antimalware扫描界面(AMSI),允许应用程序和服务与机器上存在的任何抗动软件产品集成。研究人员表示,这种技术导致AntimalWare产品无法从AMSI接口接收数据以进行扫描。

“然而,这些技术不会阻止检测到内存中的实际恶意有效载荷,”福豆说。

在Turla最近使用的有效载荷中,他说两个脱颖而出。首先是一组依赖于RPC协议的整组楼层。这些后门表示,Faou,用于执行横向运动,并控制本地网络中的其他机器,而不依赖于外部C&C服务器.Second是PowerStallion,使用Onedrive作为C&C服务器的轻量级PowerShell后台。

“我们相信这款后门是一个恢复的访问工具,以防主修路后门被移除,运营商无法再访问受妥协的计算机,”福豆说。

他说,ESET研究人员已经发布了一个博客,并在他们对Turla的Powershell脚本分析结果来帮助防守者柜台,他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。