弹弓路由器恶意软件:为企业警告
微软仍然需要Windows手机中的音频插孔端口
工业网络安全改善,但需要工作
特洛伊狩猎说,创造安全文化以提高网络防御
Synaptics有一个新的指纹传感器,意味着更平滑的手机屏幕
伦敦加入花旗银行IT创新网络
亚马逊旨在通过消除退房线来改变零售
AirMap,Digicert为无人机发出数字证书
为什么Marissa Mayer将从雅虎的灰烬中出现
思科与启动AI健康和安全试验合作
戴尔的纬度7285是世界上第一个2合1的无线充电
兰森沃特在2017年是最受欢迎的网络犯罪工具
开源硬件制造商开始认证产品
美国最高法院留下三星 - 苹果专利裁决的差距
Qumulo文件访问混合云QF2文件系统在欧洲推出
新年为物联网供应商的决议:开始将兰斯视为敌对
在法拉第未来的工厂的位置看不到太多
面试:勃比艾格说,解决性别多样性可以解决技能差距
2016年的10个最大的用户数据黑客
为GDPR准备的三分之二的初创公司
Microsoft推送R,SQL Server集成
忘记内华达州和加利福尼亚 - 这种国家对自动驾驶的更加认真
安全研究人员展示了对机器人的赎金软件攻击
一个未分割的漏洞暴露了Netgear路由器来攻击
Cyber​​spies偷走了工业巨人Thyssenkrupp的秘密
大多数NHS信托都失败了他们的网络安全评估,NHS Digital Acmits
英国信息专员表示,信任基础创新
Google Q4结果显示企业正在购买其公共云
预计这个春天迅速升级
区块链条给全球LGBT社区成为一个响亮的经济声音
尽管接近截止日期,但荷兰公司尚未为GDPR做好准备
这是您对AWS GreenGrass IoT服务的硬件需求的需求
最新的MacBook专业人士未能获得消费者报告建议 - 这就是为什么
密歇根州批准了没有司机或道路上的转向轮子的汽车
隐私集团敦促调查“玩具互联网”
几乎一半的年轻女性不觉得他们有一个技术职业的技能
西米德兰斯市长在狩猎首席数字官员
英特尔说独立的VR是在今年年底到来的
适用于AWS的新合作伙伴计划旨在增长Alexa,IoT等
想象力计划新的MIPS CPU,PowerVR GPU看起来它会反弹
IDC研究表明,对2017年飙升的云启用基础设施产品的需求
在压力下的企业可以让更容易获得云
ODI开始了健身的启动加速器,以获得英国移动
戴尔:带无线充电的主流笔记本电脑仍然是多年的
Waymo可能刚刚制造自驾车实惠
您的iPhone 8可以具有弯曲的OLED显示屏
麻省理工学院创建3D印刷石墨烯,比空气轻,比钢更强为10倍
隐藏的损失:非生产性任务和自动化的承诺
Microsoft为TETHETED VR耳机设置Windows 10 PC要求
802.11ac波2 APS获得地面
您的位置:首页 >产品 > 电子产品 >

弹弓路由器恶意软件:为企业警告

2021-07-30 13:44:05 [来源]:

从2012年2月到2012年2月的中东和非洲在中东和非洲的复杂恶意软件展示了网络犯罪分子可以针对企业的另一种方式。

恶意软件,被Kaspersky Lab安全研究人员称为Slingshot,他们发现了它,攻击和感知受害者通过受损的Microtik路由器,可以在内核模式下运行,使其完全控制受害者的设备。

据研究人员来说,这种威胁演员使用的许多技术都是独一无二的,使弹弓非常有效地收集,因为它隐藏了它在没有跟踪的日常通信中拦截其流量。

在研究人员发现一个可疑的键盘记录程序并创建行为检测签名后发现了弹弓操作,以查看该代码是否出现了其他任何地方。

这导致了发现名为scesrv.dll的系统文件夹内的可疑文件的可疑文件,并且对文件的分析显示,尽管出现了合法,但scesrv.dll模块将恶意代码嵌入到它中。

由于此库由“Services.exe”加载,因此中毒库获得了具有系统权限的进程,因此获得了相同的权限,使高度高级入侵者能够进入计算机的非常核心。

进一步调查显示,受害者已通过通过在它们内部的恶意动态链接库受到损害的路由器感染,这是恶意组件的下载器。

研究人员表示,路由器的管理软件下载并运行恶意模块,但是,研究人员表示,用于损害第一名中的Microtik路由器的方法仍然未知。

研究人员发现,SlingShot加载了许多模块,包括Cahnadr和Gollumapp,包括Cahnadr和Gollumapp,它们在信息收集,持久性和数据exfiltation中相互支持,并且能够互相支持。

他们说,弹弓的主要目的似乎是网络间谍活动,因为它收集屏幕截图,键盘数据,网络数据,密码,USB连接,其他桌面活动,剪贴板数据等。研究人员说,恶意软件的内核访问意味着它可以窃取它想要的任何东西。

先进的持久威胁(APT)也包含了许多技术来帮助它逃避检测,包括使用许多反调试技术加密其模块中的所有字符串,并选择根据安全控件的内容注入哪个进程地方。

Slingshot旨在作为“被动后门”,因为它没有具有硬件指令和控制(C&C)地址,而是通过拦截内核模式下的所有网络包并检查以查看IF,从操作员获取标题中有两个硬编码的“魔术常数”。如果是这种情况,它意味着包包含C&C地址。

在此之后,Slingshot为C&C建立了加密的通信信道,并开始传输数据以便在研究人员中传输exfiltration的数据。

研究人员表示,创建弹簧复杂工具集的开发时间,技能和成本可能是极高的,表明弹弓的集团可能是高度组织的,专业,可能是国家赞助的。

代码中的文本线索表明,Slingshot背后的小组是英语,但研究人员注意到,准确的归属总是困难,如果不是不可能确定,并且越来越容易操纵和错误。

“弹弓是一种复杂的威胁,采用广泛的工具和技术,包括迄今为止在最先进的掠夺者中看到的内核模式模块,”Kaspersky Lab的Lead Malware分析师援助alexey shulmin援助。“该功能对于攻击者来说是非常珍贵和有利可图的,这可以解释为什么它至少六年了。”

虽然研究人员只有大约100个弹弓及其相关模块的受害者,但大多数似乎都是针对性的,企业需要注意并采取预防措施,说安全评论员。

“国内联系和用户通常提供低辩护,因此,欧洲,中东和非洲安排坚定的公司Vectra主任Matt Walmsley表示,犯罪分子将在家定位。”

“将APT放在家中的用户将为他们提供一只脚踏板 - 使它们无辜地将受损的电脑绕过工作环境,绕过任何周边防御。

“移动和BYOD [带上您自己的设备]所有带来风险需要快速检测和反应公司网络内部妥协指标。大多数组织都有周边防御,以及在他们的家用控制PC上的某种防病毒终点。然而,许多组织对内部网络发生的邪恶活动视为攻击者协调,侦察,移动,升级权限和窃取或操纵数据。“

Walmsley表示,弹弓是一个六岁的竞选活动表明,威胁检测差距是活跃的,特别是对于先进的攻击,威尔姆斯利表示。

他说,虽然基于传统的签名的方法在发现以前看不见的威胁和未知的威胁中,但他说,有多种方法可以找到以前看不见的妇女。

“基于行为的方法需要发现折衷的弱势信号,以确定网络内的入侵后攻击者活动,但这可能是一个费力和缓慢,如果手动执行,则提供较差的结果,”他说。

“认识到这种”检测差距“的企业越来越多地迁移到可以自动运行的自动威胁狩猎工具。使用人工智能[AI],企业可以检测隐藏的攻击者行为,关联和提供证据,以及攻击的拉动上下文,并将其集成到安全事件响应工作流程中,以自动化一些或全部响应操作。

“在这方面,AI可以释放安全分析师的时间来制定快速,知情的决策,同时能够对主动威胁进行敏捷的反应,减少攻击者停留时间,最终是业务风险。”

Walmsley补充说:“任何防御都是不完善的 - 这就是为什么企业需要建立他们的检测和响应能力,以确保它们具有自适应安全架构,这些安全架构捍卫它可以的内容,并快速检测和响应它无法响应的安全架构。”

他说Slingshot强调了产品开发人员管理其数字供应链风险,并确保其产品中使用的软件图书馆和模块没有受到影响,或者可以检测到任何折衷。为了防御这种类型的攻击,最终用户组织应确保他们始终使用最新版本的代码来降低已知漏洞的风险。

“除了保持操作系统和固件的情况下,能够从互联网连接和基础设施设备中发现流氓行为很重要,”Walmsley说。

卡巴斯基实验室建议:

Mikrotik路由器用户应该尽快升级到最新的软件版本。商业化合物使用验证的公司级安全系统与反目标攻击技术和威胁情报组合使用。Organations提供了可访问最新威胁情报数据的安全人员,这些将在有用的工具中使用有针对性的攻击研究和预防的工具.IF企业现货目的攻击的早期指标,他们考虑托管保护服务以检测先进的威胁,减少停留时间并实现及时的事件响应。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。