在影视作品中,经常能见到通过 USB 存储器发起的网路入侵攻击。剧情通常是从目标公司中挑选一位容易下手的雇员,让他在工作场所的某个地方插入。对于有经验的 *** 犯罪者来说,这显然是一件很容易暴露的事情。但没想到的是,同样的剧情,竟然在现实中上演了。2017~2018 年间,卡巴斯基实验室的专家们,受邀研究了一系列的 *** 盗窃事件。
它们之间有一个共同点 —— 有一个直连公司本地 *** 的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。
据悉,东欧至少有 8 家银行成为了这种袭击的目标(统称 DarkVishnya),造成了数千万美元的损失。
每次攻击可分为相同的几个阶段:首先, *** 犯罪分子以快递员、求职者等为幌子,潜入了组织的大楼、并将设备连接到本地 *** (比如某个会议室中)。
在可能的情况下,该装置会被隐藏或混入周围环境,以免引起怀疑。如上图所示的带插座的多媒体桌子,就很适合植入隐蔽的设备。
根据 *** 犯罪分子的能力和个人喜好,DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中,通常有如下三种:
● 上网本或廉价笔记本电脑;
● 树莓派计算机;
● Bash Bunny — 一款用于执行 USB 攻击的特殊工具。
在本地 *** 内,该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器,远程访问被植入的设备。
结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实,这使得安全人员在搜索时,难以决定从何处先下手。
攻击的第二阶段,攻击者远程连接到设备、并扫描本地 *** ,以访问共享文件夹、Web 服务器、和其它开放式资源。
此举旨在获取有关 *** 的信息,尤其是业务相关的服务器和工作站。与此同时,攻击者试图暴力破解或嗅探这些机器的登录凭证。
为克服防火墙的限制,它们使用本地 TCP 服务器来植入 shellcode 。
若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接,则攻击者会借助其它可被利用的资源,来构建所需的通信隧道。
得逞后, *** 犯罪分子会实施第三阶段:
登录目标系统,使用远程访问软件来保留访问权限,接着在受感染的计算机上启用 msfvenom 创建的恶意服务。
因为黑客利用了无文件攻击(Fileless Attacks)和 PowerShell,所以能够绕过白名单技术、或者域策略。
即便遇到了无法绕过的白名单,或者 PowerShell 被目标计算机阻止, *** 犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件,发动远程攻击。
最后,卡巴斯基实验室曝光了如下恶意软件:
not-a-virus.RemoteAdmin.Win32.DameWare
MEM:Trojan.Win32.Cometer
MEM:Trojan.Win32.Metasploit
Trojan.Multi.GenAutorunReg
HEUR:Trojan.Multi.Powecod
HEUR:Trojan.Win32.Betabanker.gen
not-a-virus:RemoteAdmin.Win64.WinExe
Trojan.Win32.Powershell
PDM:Trojan.Win32.CmdServ
Trojan.Win32.Agent. *** be
HEUR:Trojan.Multi.Powesta.b
HEUR:Trojan.Multi.Runner.j
not-a-virus.RemoteAdmin.Win32.PsExec
Shellcode 监听端口:
tcp://0.0.0.0:5190
tcp://0.0.0.0:7900
Shellcode 连结点:
tcp://10.**.*.***:4444
tcp://10.**.*.***:4445
tcp://10.**.*.***:31337
Shellcode 管道:
\\.\xport
\\.\s-pipe
稿源:cnBeta,封面源自 *** ;
在攻破 NVIDIA 之后,嚣张的黑客组织 Lapsus$ 近日在 Telegram 上发出投票帖,通过投票结果来决定接下来公开哪家公司的数据。在投票选项中包括运营商 Vodafone 的源代码、Impresa 的源代码和数据库、MercadoLibre 和 MercadoPago 的数据库。投票...
Hackernews编译,转载请注明出处: Emotet恶意软件在中断十个月后,于15日开始运行,该软件通过多次垃圾邮件攻击向全球邮箱发送恶意文档。 Emotet是一种恶意软件感染,通过带有恶意附件的垃圾邮件攻击传播。如果用户打开附件,恶意宏或JavaScript文件,将下载Emotet DLL并...
伦敦的大都会警察局(MPS)进行了英国有史以来最大的加密货币扣押,从一个涉嫌洗钱的人那里拿走了价值1.8亿英镑的加密货币。同时吗,美国司法部查封了与2016年Bitfinex黑客事件有关的价值36亿美元比特币,这是目前有史以来最大的加密货币或法币被盗资产的回收。 这些故事很重要,不仅因为它们允许对加...
Hackernews 编译,转载请注明出处: 研究人员发现了一种新的针对中东和亚洲电信和 IT 服务提供商的间谍黑客活动。 这项攻击活动已经进行了六个月,操作者似乎与伊朗支持的攻击者 MERCURY (又名 MuddyWater,SeedWorm,或 TEMP.Zagros)有关。 这份报告来自...
上周三,Evina的一位法国网络安全专家Maxime Ingrao发现,在Play Store最热门的新免费应用程序中,有一些恶意软件窃取了Facebook凭证和其他一些数据。他公开了自己的发现,并在Twitter上上传了详细版本。 这名研究人员在安装一个应用程序时偶然发现了该恶意软件,当该应用程...
一个黑客组织利用Conti恶意软件集团泄露的勒索软件源代码创建了他们自己的勒索软件,然后用于对俄罗斯组织进行网络攻击。虽然经常听到勒索软件攻击公司并加密数据,但我们很少听到位于俄罗斯的黑客组织受到类似的攻击。这种缺乏攻击的情况是由于俄罗斯黑客普遍认为,如果他们不影响俄罗斯的利益,那么该国的执法部门将...