Carbanak展示了攻击者如何劫持合法的工具
Ankabut创建了阿联酋教育的超互联生态系统
英国帆船队选出BT帮助在美国的杯子里击败甲骨文
谷歌的Sundar Pichai加入了牛氨兵被砍塞的人的排名
西米德尔斯X大学医院飞行员无线生命体征技术
澳大利亚众群平台转向云存储以燃料增长
黑客从3个黑客医疗保健组织销售655,000名患者记录
MWC 2017:爱立信推出连通车辆的市场
数字化在石油和天然气中开辟了安全弱点
Talktalk首席执行官HARDING用于公共服务角色
为什么英国的投票离开欧盟将对其数据保护规则产生影响
DDOS BOTNETS使用Linux恶意软件构建嵌入式设备
打击CSC作业的联盟威胁NHS服务的裁员
基于订阅的航空旅行击中欧洲
慢速开始后,戴尔在蒸汽机上转动拨号盘
超过一半的教师承认性别陈规定型茎科目
丹麦消费者委员会将谷歌指的是数据保护机构
这是Apple Pay的未来
思科销售落后,传统产品销售衰退
微软开放的.NET打开了一个主要的里程碑
为什么您的公司将很快购买Microsoft Surface All-In-One
NHS的误导500,000个机密患者文件
IT创新时代CUSP中的中东医疗保健
研究人员在电脑芯片中构建了狡猾,不可思议的硬件级后门
今年要发货的三百万个人和商业蠕动
数字经济法案修订,以保护宣布养老金
使用Android应用程序在HP即将到来的$ 189 Chromebook 11 G5
初创帖子无线耳机翻译对话
办公室365先进的安全管理为价格带来了强大的保护
超过一百万个Gmail和雅虎帐户资质销售
IBM针对基于Apache Spark的新开发平台的数据科学家
Apple预计将在iPhone 7到32GB上双基础存储
政府创建地图超过部门的转型进展
Facebook在奥兰多大屠杀后激活“安全检查”
到2035年,210万辆自驾驶车辆将在路上
ONF为SDN和NFV制定了创新路线图
三分之二的教育工作者称3D印刷很难使用
Microsoft PCS获得了Brexit推动的价格增加
谷歌:AI Tech的民主化“大大提高”生活质量
施罗德人员在移动设备上完成日常任务
NHS需要单点访问数据
Brexit:技术意味着什么(但不恐慌)
Gigaclear赢得北安普顿郡BDuk合同
这些是Apple的WWDC的前5个生产力改进
这家公司使用AI在开始之前停止网络攻击
4D打印现在如何挽救生命
新加坡的海洋部门面临大数据的人才短缺
Bett 2017:知道Edtech投资的是什么是学校的挑战
Oracle在澳大利亚扩展了云产品
规模计算将NVME闪存带到超融合
您的位置:首页 >电子新闻 >

Carbanak展示了攻击者如何劫持合法的工具

2021-07-05 17:43:59 [来源]:

Carbanak Cyber​​犯罪集团已经证明了网络攻击者如何转向合法的工具,以便在透明的视线中进行和隐藏他们的活动。

研究人员发现,自2013年以来,这一集团被认为是从2015年全球范围内暴露的全球金融机构盗窃的群体,它正在使用Google服务发布其命令和控制(C&C)避免检测的沟通。

“Carbanak演员继续寻找隐身技术来逃避探测,”在博客岗位中,尼古拉斯格里芬写了尼古拉斯格里芬,在博客岗位中。“使用Google作为独立的C&C通道可能比使用新创建的域名或没有声誉的域更成功。”

这种做法是网络攻击者如何劫持合法工具的另一个插图。当研究人员发现攻击者使用Microsoft'Swindows PowerShellConfiguration ManageWorkto发射攻击时,首先确定了该趋势。

2016年3月,安全专家警告说,Powershell在上年曾经武烦,并且在4月份安全公司炭黑及其合作伙伴已被用来推出他们在2015年的38%的网络攻击中推出了38%的网络攻击。

使用PowerShell的攻击在剩余的未检测到中非常有效,其中31%的炭黑合作伙伴报告了PowerShell相关的事件已触发任何安全警报,表明攻击者已成功使用PowerShell进入并在公司系统中仍未被禁止。

ForcePoint表示,它已通知Google关于Carbanak滥用其服务,并与谷歌合作,与可信合作伙伴分享进一步的信息。

该力量研究人员通过分析与Carbanak相关的“Trojanised”文档来揭示了含有编码的Visual Basic脚本(VBScript)的“Trojanised”文档,该文件具有使用Google Services进行C&C通信的能力。

根据Griffin的说法,该脚本旨在发送和接收Google Apps脚本,Google Scipt和Google表单服务的命令。

“对于每个受感染的用户,动态创建了一个独特的Google Speets电子表格,以管理每个受害者,”她写道。“使用这样的合法的第三方服务使攻击者能够隐藏在平原中。”

Griffin表示,这些托管的Google服务在组织中默认不太可能被阻止,使攻击者更有可能成功建立C&C通道。

但她说,通过TRITON ACE安全智能工具保护了强行强制客户的威胁,这阻止了恶意软件执行或阻止C&C流量。

2016年11月,安全公司Trustwave将Carbanak描述为最复杂的网络犯罪集团之一,并发布了一份报告,详细介绍了主要在医院和餐厅行业的广告系列中使用的攻击方法。

根据该报告,攻击通常以社交工程攻击开始,以获得初始网络立足点,然后巧妙地伪装恶意软件,建立受害者系统的远程控制,下载其他工具。

然后,Carbanak组进行侦察以扫描网络,扩展其立足点并识别高价值目标。接下来,捕获支付卡信息和/或个人身份信息并将其省略回攻击者。

信徒说,竞选活动的持久性,专业性和普遍性是研究人员很少见的水平。

报告称,“所用的恶意软件非常多方面,仍然没有被大多数(如果有的话)的杀毒发动机捕获。“社会工程极具针对性,通过威胁演员具有优秀的英语技能。网络侦察和横向运动快速且高效。最后,数据exfiltration方法是隐身和有效的。“

Balazs Scheidler,CTO和安全公司Balabit的联合创始人表示,ForcoPoint的发现非常重要,因为很多反恶意软件使用IP地址声誉和威胁情报以识别恶意流量。

“因为这种控制技术使用与合法的Google服务相同的服务,所以很难将其包含在黑名单中,”他说。

Scheidler表示,由于网络钓鱼和恶意软件安装是企业不断战斗的艰难战斗,组织应专注于预防和遏制违规行为,特别是在检测到破坏的内部计算机和用户账户被用来识别和剥夺其最重要的资产。

“我们可能不会将最敏感的数据资产存储在工作站中,因此,一旦违反工作站和用户凭证在企业最有价值的数据和秘密之后,违反了违反的工作站和用户凭据,违约就会变得非常有趣,这是特权用户行为分析来的他说,以挑选劫持账户的异常行为。“

克里斯托弗Kruegel,Charectopher Kruegel,Security公司普拉德列特的联合创始人和首席执行官表示,由于最新的Carabanak恶意软件样本是“环境意识到”,他们需要一个“隐形沙箱,以便自动检测它们,似乎是分析环境受害者的系统“。

“只有当时才能保护银行和其他组织免受这些不断变化的威胁,”他说。.......................................................................

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。