Carbanak展示了攻击者如何劫持合法的工具
Carbanak Cyber犯罪集团已经证明了网络攻击者如何转向合法的工具,以便在透明的视线中进行和隐藏他们的活动。
研究人员发现,自2013年以来,这一集团被认为是从2015年全球范围内暴露的全球金融机构盗窃的群体,它正在使用Google服务发布其命令和控制(C&C)避免检测的沟通。
“Carbanak演员继续寻找隐身技术来逃避探测,”在博客岗位中,尼古拉斯格里芬写了尼古拉斯格里芬,在博客岗位中。“使用Google作为独立的C&C通道可能比使用新创建的域名或没有声誉的域更成功。”
这种做法是网络攻击者如何劫持合法工具的另一个插图。当研究人员发现攻击者使用Microsoft'Swindows PowerShellConfiguration ManageWorkto发射攻击时,首先确定了该趋势。
2016年3月,安全专家警告说,Powershell在上年曾经武烦,并且在4月份安全公司炭黑及其合作伙伴已被用来推出他们在2015年的38%的网络攻击中推出了38%的网络攻击。
使用PowerShell的攻击在剩余的未检测到中非常有效,其中31%的炭黑合作伙伴报告了PowerShell相关的事件已触发任何安全警报,表明攻击者已成功使用PowerShell进入并在公司系统中仍未被禁止。
ForcePoint表示,它已通知Google关于Carbanak滥用其服务,并与谷歌合作,与可信合作伙伴分享进一步的信息。
该力量研究人员通过分析与Carbanak相关的“Trojanised”文档来揭示了含有编码的Visual Basic脚本(VBScript)的“Trojanised”文档,该文件具有使用Google Services进行C&C通信的能力。
根据Griffin的说法,该脚本旨在发送和接收Google Apps脚本,Google Scipt和Google表单服务的命令。
“对于每个受感染的用户,动态创建了一个独特的Google Speets电子表格,以管理每个受害者,”她写道。“使用这样的合法的第三方服务使攻击者能够隐藏在平原中。”
Griffin表示,这些托管的Google服务在组织中默认不太可能被阻止,使攻击者更有可能成功建立C&C通道。
但她说,通过TRITON ACE安全智能工具保护了强行强制客户的威胁,这阻止了恶意软件执行或阻止C&C流量。
2016年11月,安全公司Trustwave将Carbanak描述为最复杂的网络犯罪集团之一,并发布了一份报告,详细介绍了主要在医院和餐厅行业的广告系列中使用的攻击方法。
根据该报告,攻击通常以社交工程攻击开始,以获得初始网络立足点,然后巧妙地伪装恶意软件,建立受害者系统的远程控制,下载其他工具。
然后,Carbanak组进行侦察以扫描网络,扩展其立足点并识别高价值目标。接下来,捕获支付卡信息和/或个人身份信息并将其省略回攻击者。
信徒说,竞选活动的持久性,专业性和普遍性是研究人员很少见的水平。
报告称,“所用的恶意软件非常多方面,仍然没有被大多数(如果有的话)的杀毒发动机捕获。“社会工程极具针对性,通过威胁演员具有优秀的英语技能。网络侦察和横向运动快速且高效。最后,数据exfiltration方法是隐身和有效的。“
Balazs Scheidler,CTO和安全公司Balabit的联合创始人表示,ForcoPoint的发现非常重要,因为很多反恶意软件使用IP地址声誉和威胁情报以识别恶意流量。
“因为这种控制技术使用与合法的Google服务相同的服务,所以很难将其包含在黑名单中,”他说。
Scheidler表示,由于网络钓鱼和恶意软件安装是企业不断战斗的艰难战斗,组织应专注于预防和遏制违规行为,特别是在检测到破坏的内部计算机和用户账户被用来识别和剥夺其最重要的资产。
“我们可能不会将最敏感的数据资产存储在工作站中,因此,一旦违反工作站和用户凭证在企业最有价值的数据和秘密之后,违反了违反的工作站和用户凭据,违约就会变得非常有趣,这是特权用户行为分析来的他说,以挑选劫持账户的异常行为。“
克里斯托弗Kruegel,Charectopher Kruegel,Security公司普拉德列特的联合创始人和首席执行官表示,由于最新的Carabanak恶意软件样本是“环境意识到”,他们需要一个“隐形沙箱,以便自动检测它们,似乎是分析环境受害者的系统“。
“只有当时才能保护银行和其他组织免受这些不断变化的威胁,”他说。.......................................................................