Top9、搭建虚拟机躲避查杀独创怪招
据360安全大脑监测发现,上半年流行的挖矿类木马以Powershell形式的无文件攻击为主,其中以驱动人生木马(DTLMiner),匿影,BlueHero,MyKings家族居多。该类挖矿木马重点表现出更新频率高,混淆严重的特点。挖矿木马活跃度在一定程度上受虚拟货币价格涨幅影响,其中以DTLMiner挖矿木马更新最为频繁,堪称一众同班同学中最努力上进的 “优秀代表”。
除了疯狂捞金的勒索病毒外,挖矿木马、蠕虫木马和驱动类传统木马也动作频频,仍然是扮演着流行病毒主力军团角色。
360安全大脑发现,针对隔离网络环境攻击是一种全新的攻击思路,黑客组织在考虑到隔离网络这一特殊的场景时,利用USB设备,doc文档等常见的媒介实现从外网渗透进隔离网络并在窃取数据之后传回给黑客,这一行为具有极高的隐蔽性。由于物理隔离网络多为政企机构等单位采用,因此尽管该病毒还在研发阶段,尚不够成熟,但是这种攻击场景将对政企单位造成的严重威胁不容小觑。
2013年,斯诺登曾曝光美国NSA武器库中的“水蝮蛇一号” (COTTONMOUTH-I),它可以在电脑不连网的情况下秘密修改数据,这一支用于全球监控的超级网络军火,实质上是一个植入微型电脑的特制U盘。在2014年的Black Hat大会上,来自柏林的安全研究员现场还原如何利用U盘、鼠标等任意USB设备,“完美”绕开安全软件防护网,实施攻击,并将其定义为世界上最邪恶的USB外设——“BadUSB”。根据BadUSB极难辨别的伪装攻击特点,360安全大脑 将其命名为“变形虫”。
1、 前往http:weishi.360.cn/下载安装360安全卫士,对多种恶意攻击及时进行拦截;
△ 远程执行计划任务
△远程注册表操作
之后该木马会在隔离网络中运行,进一步感染隔离网内的其他设备,当成功获得目标重要资产的访问权限时,会直接窃取其中机密数据并将其写入U盘或带指令的文档中。此时获取的机密数据会以同样的方式再度被带出隔离网络并接入已感染病毒的外网计算机中,外网计算机中的驻留程序检测到U盘或文档携带的机密数据,将其提取并发送给黑客。
360安全大脑发现,相较于2019年,驱动类木马对抗杀软手段有所升级,查杀难度和成本有所增长。具体表现为病毒更新周期缩短、由限制杀软模块加载的黑名单机制转变成只允许系统模块加载的白名单机制,以及通过加载模块的时间戳,签名等特征限制杀软驱动加载等特征,驱动类木马也正在变得更加“狡猾”。
某勒索软件使用PsExec进行横向移动:
而从其整个上半年对野外漏洞利用的利用情况看,蠕虫级漏洞,文档类漏洞和各类可以远程执行命令的服务器漏洞仍是其用的最得心应手的武器,挖矿木马可以轻易通过这些漏洞释放出大规模“AOE范围伤害”。
2020年上半年,勒索病毒繁多的变种更加趋于常态化,新型勒索病毒越演越烈的增长态势也愈发不可收拾。近两年来,勒索病毒制造门槛一再降低,用PHP、Python等语言编写的勒索病毒,甚至用更简易的脚本语言来编写勒索病毒已经屡见不鲜。
360安全卫士独家推出“横向渗透”防护功能,全视域洞察阻断病毒木马横向传播扩散
凭借已植入的恶意木马,攻击者会进一步窃取员工进出企业内网的账号密码,直接进入企业内网企业核心资产和企业重要的敏感数据。
在暗网和一些地下黑客论坛中,以RAAS模式(勒索软件即服务)推广和分发勒索病毒的勒索软件供应商也日益增多,RAAS模式的出现让黑客攻击成本不断降低,策划实施攻击者只需支付少量成本即可发起勒索攻击,从中大量获利。而勒索对象也正在从C端用户全面转向大型B端企业,疯狂掘金的黑客团伙已然大肆分起了蛋糕,开始了“地盘掠夺”,动辄数百万美元的勒索赎金足已让各方玩家昼夜无休。
但事实上,这个USB设备是经过特殊处理的,攻击者将USB设备编程为USB键盘,因为计算机默认设置是信任USB键盘,当USB设备被插入受害者计算机时,模拟键盘就会执行恶意代码,进而控制这台机器。
本栏目下所有稿件均由第三方平台提供,所发布信息内容的准确性由原内容提供者独立承担完全责任。北方网刊登此文仅出于传递信息之目的,绝不代表赞同其观点或证实其描述。文章中如涉及侵权请及时与我方联系(电话:022-23601035),我们会尽快处理。△ 远程执行powershell
Top3、钓鱼邮件攻击趁火打劫
Top1、勒索病毒独占鳌头
PC安全威胁十面埋伏,360安全大脑如何见招拆招?
Ramsay恶意软件通过U盘实现隔离网络突破流程图
利用WINRM服务进行横向渗透:
Top6、“隔离网络突破”另辟蹊径
△ 远程创建服务
除VPN外,远程会议,即时通信,文档协助等方面也都存在诸多安全隐私问题。应运而生的远程办公软件站在了风口上,但这些快速上线软件及时响应了人们短期内远程办公的需求,但用户的安全需求却极易受到开发者的忽视和冷落。
值得一提的是,从2019年开始,360安全大脑已经监测到境外APT组织海莲花针对中国的多起攻击事件中,都曾采用通过WMI远程执行和powershell调用COM远程执行的方式,在目标内网横向渗透。
2020上半年勒索病毒花样频出
4、提高个人网络安全意识,建议从软件官网,360软件管家等正规渠道下载安装软件,对于被360安全卫士拦截的不熟悉的软件,不要继续运行和添加信任。
Top5、远程会议、即时通讯暗藏危机
入侵和控制员工个人电脑通常并不是攻击者的最终目的,攻击者会以被攻陷系统为跳板,采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权,这种攻击方法已在多个APT攻击中被发现使用。
最后攻击者启动虚拟机,勒索软件位于xp镜像的启动目录下,虚拟机启动时会自动执行勒索软件,在虚拟机中加密共享的物理机数据从而规避杀软的查杀。攻击者还会删除卷影还原点,防止用户通过磁盘恢复工具恢复加密的文件。
利用“变形虫(BadUSB)”发起的网络攻击几乎从未停止,尤其是在国家级网络对抗、关键基础设施攻击、间谍情报活动等场景下,“变形虫(BadUSB)”更成为一种致命的入侵武器。而在2020年上半年,又再次真实的发生了一起利用变形虫(BadUSB)发起攻击的恶意安全事件。
疫情带来的恐慌,无疑为黑客团伙们创造了为非作歹的“天时地利”。
除此之外,常见的手法还有:
在利用弱口令爆破、漏洞等手段成功入侵企业的VPN服务器后,攻击者可以通过劫持VPN的升级流程下发远控木马,进而成功入侵目标内网。当员工在家办公过程中升级VPN客户端时,由于升级流程被攻击者劫持,木马可以顺利通过升级渠道植入员工计算机设备中。