在最近的一项调查中,卡巴斯基专家发现了一个独特的针对性恶意软件活动。这些活动之所以很突出,是因为其创新地使用了Windows事件日志来进行恶意软件存储,攻击者还使用了多种令人印象深刻的技术,例如使用商业的渗透套装产品和反检测打包程序——包括那些用Go编译的包装程序。多个最后阶段的木马程序被用在这些攻击行动中。
卡巴斯基专家检测到一个有针对性的恶意软件活动,它使用了一种独特的技术,将 “无文件”的恶意软件隐藏在Windows事件日志中。最初的系统感染是通过受害者下载的压缩文档中的dropper模块进行的。攻击者使用多种前所未有的反检测打包程序使最后阶段的木马程序更加隐蔽。为了进一步避免被检测到,有些模块还利用数字证书进行了签名。
攻击者在最后阶段使用了两种类型的木马程序。这些木马被用来获得对系统的进一步访问,来自控制服务器的命令以两种方式传递,通过 HTTP 网络通信和使用命名管道。有些木马版本能够使用包含来自C2的数十个命令的命令系统。
这次的攻击行动还使用了商业渗透工具,即SilentBreak和CobaltStrike。它将众所周知的技术与定制的解密器相结合,并首次观察到使用 Windows 事件日志将shellcode隐藏到系统中。
“我们见证了一种新的针对性恶意软件攻击技巧,它引起了我们的注意。在攻击中,威胁行为者会在Windows事件日志中存储和运行加密外壳代码。这是一种我们之前从未见到过的方法,反映出对威胁保持警惕的重要性,否则会让我们措手不及。我们认为,有必要将事件日志技术添加到MITRE矩阵的”躲避检测“部分的”隐藏人工制品“部分,”卡巴斯基首席安全研究员Denis Legezo表示:“使用多个商业渗透套件这种事情也不是每天都能见到的。”
要了解更多有关事件日志技术的详情,请访问 Securelist.com
要保护您免受无文件恶意软件及类似威胁的侵害,卡巴斯基建议:
使用一款可靠的端点安全解决方案。卡巴斯基网络安全解决方案中有专门的组件可以检测文件行为中的异常,从而可以揭示任何无文件恶意软件的活动。
安装反APT和EDR解决方案,启用威胁发现和检测以及调查和及时的事件修复功能。此外,为您的SOC团队提供对最新的威胁情报的访问,并对他们进行定期专业技能培训。所有这些服务均可在卡巴斯基专家安全框架内获取。
集成适当的端点保护和专门服务,有助于抵御高调的攻击。卡巴斯基托管检测与响应服务可以在攻击者实现其目标之前,在其早期阶段识别和阻止攻击。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。
来源:飞象网
免责声明:本文来源于网络,仅代表作者本人观点,与手机之家无关。手机之家对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。