江苏龙网

  1. 首页 > 资讯 > 资讯 > >

上半年|细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”( 三 )


360安全大脑发现,针对隔离网络环境攻击是一种全新的攻击思路,黑客组织在考虑到隔离网络这一特殊的场景时,利用USB设备,doc文档等常见的媒介实现从外网渗透进隔离网络并在窃取数据之后传回给黑客,这一行为具有极高的隐蔽性。由于物理隔离网络多为政企机构等单位采用,因此尽管该病毒还在研发阶段,尚不够成熟,但是这种攻击场景将对政企单位造成的严重威胁不容小觑。
Top7、横向渗透技术靡然成风
从境外APT组织“海莲花”(OceanLotus)、GlobeImposter勒索病毒,再到最近闹得满城风雨的驱动人生供应链攻击事件,“横向渗透”这种在复杂网络攻击被广泛使用的手段,已成为不法黑客瞄准企业目标,以点破面的惯用伎俩。如不及时发现,最终面临的将可能是企业内网设备的停摆与瘫痪,严重威胁企业数字资产安全。
入侵和控制员工个人电脑通常并不是攻击者的最终目的,攻击者会以被攻陷系统为跳板,采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权,这种攻击方法已在多个APT攻击中被发现使用。
据360安全大脑统计,2020年上半年累计拦截到横向渗透的攻击高达150万次。
如Mykings僵尸网络通过远程执行WMI技术进行横向渗透:
上半年|细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”
文章图片
某勒索软件使用PsExec进行横向移动:
利用WINRM服务进行横向渗透:
上半年|细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”
文章图片

除此之外,常见的手法还有:
上半年|细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”
文章图片

值得一提的是,从2019年开始,360安全大脑已经监测到境外APT组织海莲花针对中国的多起攻击事件中,都曾采用通过WMI远程执行和powershell调用COM远程执行的方式,在目标内网横向渗透。
上半年中传播广泛的DLTMiner,Tor2Mine,Mykings等挖矿木马,也都集成了不同的横向渗透模块,通过WMI/ SMB/SSH/数据库/RDP弱口令爆破和各种漏洞(永恒之蓝/Bluekeep/SMBGhost)漏洞进行横向传播。
Top8、供应链污染配合感染型病毒打出“组合拳”
2020年5月,360安全大脑首次检测到一款新型的感染型病毒Peviru,该病毒除了感染可执行文件之外,还会感染某编程语言(以下简称X语言)的编译坏境,导致用户编译的所有程序都会被感染。
360安全大脑通过对该病毒溯源发现,这款病毒背后的黑客团伙通过供应链污染的手段将携带这种病毒的开发工具植入X语言论坛。而就在近期,我们又检测到该黑客团伙通过之前部署的恶意软件下发勒索病毒。
上半年|细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”
文章图片

黑客团伙通过供应链污染配合感染型病毒下发勒索病毒
Top9、搭建虚拟机躲避查杀独创怪招
在黑客眼中,攻防最大的魅力就在于封锁,和突破封锁,这种对抗游戏经久不衰,攻防双方也乐此不彼,查杀与免杀技术亦是如此。
在上半年诸多有趣的免杀样本中,一种叫RagnarLocker的勒索软件将免杀技术提高到了一个新的水平。为了躲避杀毒软件查杀,RagnarLocker在受害者机器上部署了一套完整的Oracle VirtualBox虚拟机坏境,并将49KB大小的勒索病毒存储到Windows XP虚拟机的虚拟映像文件(micro.vdi)当中。整个加密文件过程也在虚拟机空间中进行,安装在宿主机上的很多杀毒软件对此都束手无策。
上半年|细数2020上半年PC端十大“黑恶势力”,一起康康是谁在“兴风作浪”
文章图片
攻击者先是使用GPO(Group Policy Object) task运行远程网络上的MSI(msiexec.exe)文件。这个MSI文件释放一个旧版本的VirutalBox安装程序和包含RagnarLocker勒索软件的Windows XP映像文件。勒索软件会在尝试关闭反病毒软件服务和进程后,将宿主机本地磁盘,可移动设备,网络设备等都映射到虚拟机内。
最后攻击者启动虚拟机,勒索软件位于xp镜像的启动目录下,虚拟机启动时会自动执行勒索软件,在虚拟机中加密共享的物理机数据从而规避杀软的查杀。攻击者还会删除卷影还原点,防止用户通过磁盘恢复工具恢复加密的文件。
这种新颖的通过虚拟机加密的手法可谓独辟蹊径,Ragnar Locker已经成功利用这种方法实现了对葡萄牙跨国能源巨头、世界第四大风能生产商EDP的勒索攻击,并开出了1580枚BTC近11万美元的高昂赎金。
Top10、变形虫(BadUSB)攻击花式钓鱼
2013年,斯诺登曾曝光美国NSA武器库中的“水蝮蛇一号” (COTTONMOUTH-I),它可以在电脑不连网的情况下秘密修改数据,这一支用于全球监控的超级网络军火,实质上是一个植入微型电脑的特制U盘。在2014年的Black Hat大会上,来自柏林的安全研究员现场还原如何利用U盘、鼠标等任意USB设备,“完美”绕开安全软件防护网,实施攻击,并将其定义为世界上最邪恶的USB外设——“BadUSB”。根据BadUSB极难辨别的伪装攻击特点,360安全大脑 将其命名为“变形虫”。


推荐阅读


上一篇: 将于当地时间|2022世界杯公布赛程:11月21日开赛 12月18日决赛

下一篇: 坏话|只因写了老师坏话,莆田一初中女生被班主任逼迫退学