【每日安全资讯】卡巴斯基曝光DarkVishnya银行内网攻击案件细节
在影视作品中,经常能见到通过 USB 存储器发起的网路入侵攻击。剧情通常是从目标公司中挑选一位容易下手的雇员,让他在工作场所的某个地方插入。对于有经验的网络犯罪者来说,这显然是一件很容易暴露的事情。但没想到的是,同样的剧情,竟然在现实中上演了。2017~2018 年间,卡巴斯基实验室的专家们,受邀研究了一系列的网络盗窃事件。
它们之间有一个共同点 —— 有一个直连公司本地网络的未知设备。有时它出现在中央办公室、有时出现在位于另一个国家或地区的办事处。据悉,东欧至少有 8 家银行成为了这种袭击的目标(统称 DarkVishnya),造成了数千万美元的损失。每次攻击可分为相同的几个阶段:首先,网络犯罪分子以快递员、求职者等为幌子,潜入了组织的大楼、并将设备连接到本地网络(比如某个会议室中)。在可能的情况下,该装置会被隐藏或混入周围环境,以免引起怀疑。如上图所示的带插座的多媒体桌子,就很适合植入隐蔽的设备。根据网络犯罪分子的能力和个人喜好,DarkVishnya 攻击中使用的设备也会有所不同。在卡巴斯基实验室研究的案例中,通常有如下三种:● 上网本或廉价笔记本电脑;● 树莓派计算机;● Bash Bunny -- 一款用于执行 USB 攻击的特殊工具。在本地网络内,该设备会显示为“未知计算机、外部闪存驱动器、甚至键盘”。然后再通过内置或 USB 连接的 GPRS / 3G / LTE 调制解调器,远程访问被植入的设备。结合 Bash Bunny 在外形尺寸上与 USB 闪存盘差不多的事实,这使得安全人员在搜索时,难以决定从何处先下手。攻击的第二阶段,攻击者远程连接到设备、并扫描本地网络,以访问共享文件夹、Web 服务器、和其它开放式资源。此举旨在获取有关网络的信息,尤其是业务相关的服务器和工作站。与此同时,攻击者试图暴力破解或嗅探这些机器的登录凭证。为克服防火墙的限制,它们使用本地 TCP 服务器来植入 shellcode 。若防火墙阻止其从一个网段跳跃到另一个网段、但允许反向连接,则攻击者会借助其它可被利用的资源,来构建所需的通信隧道。得逞后,网络犯罪分子会实施第三阶段:登录目标系统,使用远程访问软件来保留访问权限,接着在受感染的计算机上启用 msfvenom 创建的恶意服务。因为黑客利用了无文件攻击(Fileless Attacks)和 PowerShell,所以能够绕过白名单技术、或者域策略。即便遇到了无法绕过的白名单,或者 PowerShell 被目标计算机阻止,网络犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可执行文件,发动远程攻击。最后,卡巴斯基实验室曝光了如下恶意软件:not-a-virus.RemoteAdmin.Win32.DameWareMEM:Trojan.Win32.CometerMEM:Trojan.Win32.MetasploitTrojan.Multi.GenAutorunRegHEUR:Trojan.Multi.PowecodHEUR:Trojan.Win32.Betabanker.gennot-a-virus:RemoteAdmin.Win64.WinExeTrojan.Win32.PowershellPDM:Trojan.Win32.CmdServTrojan.Win32.Agent.smbeHEUR:Trojan.Multi.Powesta.bHEUR:Trojan.Multi.Runner.jnot-a-virus.RemoteAdmin.Win32.PsExecShellcode 监听端口:tcp://0.0.0.0:5190tcp://0.0.0.0:7900Shellcode 连结点:tcp://10.**.*.***:4444tcp://10.**.*.***:4445tcp://10.**.*.***:31337Shellcode 管道:\\.\xport\\.\s-pipe*来源:cnBeta.COM更多资讯◈ 工信部:全国多地信管局加大骚扰电话治理力度http://t.cn/EUvoHZ9◈ 爱立信软件证书过期导致 O2 网络故障http://t.cn/EUvoR87◈ ITU:全球互联网用户达39亿 超总人口一半http://t.cn/EUvou5Q◈ 腾讯守护者助力辽宁朝阳破获国内首个恶意软件提供方刑事案件http://t.cn/EUvoBKQ(信息来源于网络,安华金和搜集整理)
- 【每日安全资讯】戴尔披露11月初网络攻击事件:或有数据泄露 建议客户重置密码...
- 【每日安全资讯】Dr.Web曝光新型Linux恶意软件 脚本功能极其复杂庞大
- 【每日安全资讯】卡巴斯基:恶意软件Slingshot潜伏六年并通过路由器来传播
- 【每日安全资讯】黑客攻击了BeeToken的电子邮件列表偷走了价值100万美元的以太坊
- 【每日安全资讯】程序员利用恶意软件攻击Mac与PC:时间长达13年
- 【每日安全资讯】卡巴斯基:安卓恶意软件Skygofree监控能力前所未有
- 【每日安全资讯】卡巴斯基:平昌冬奥黑客蓄意甩锅给俄罗斯
- 【每日安全资讯】恶意软件攻击沙特阿拉伯石油工厂试图引发爆炸
- 【每日安全资讯】黑客用勒索软件攻击机器人 损失比攻击PC更大
- 【每日安全资讯】研究人员发现新的类 Spectre 攻击 SplitSpectre
- 【每日安全资讯】NiceHash黑客入侵事件后续,创始人Marko Kobal辞去CEO职务
- Facebook安全堪忧 每日遭黑客攻击60万次
- 【每日安全资讯】2019年九大网络安全发展趋势预测
- 【每日安全资讯】“生物黑客”是一群怎样的存在
- Google受攻击技术细节曝光
- 【每日安全资讯】根据欧盟“被遗忘权”法律 Google已收到240万个网址删除请求
- 【每日安全资讯】币安网发全球通缉令,25万美元等值赏金追缉黑客
- 中国企业的内网安全:30个泄密致命细节
- 【每日安全资讯】MRAM有一天可能会破坏现代加密方法
- 【每日安全资讯】德国反垄断机构:Facebook滥用支配地位收集用户数据