“無檔案”惡意軟體的新花樣:惡意代碼出現在事件日誌中

“無檔案”惡意軟體的新花樣:惡意代碼出現在事件日誌中

 

在最近的一項調查中,卡巴斯基專家發現了一個獨特的針對性惡意軟體活動。 這些活動之所以很突出,是因為其創新地使用了Windows事件日誌來進行惡意軟體存儲,攻擊者還使用了多種令人印象深刻的技術,例如使用商業的滲透套裝產品和反檢測打包程式——包括那些用Go編譯的包裝程式。 多個最後階段的木馬程式被用在這些攻擊行動中。

卡巴斯基專家檢測到一個有針對性的惡意軟體活動,它使用了一種獨特的技術,將 “無檔”的惡意軟體隱藏在Windows事件日誌中。

最初的系統感染是通過受害者下載的壓縮文件中的dropper模組進行的。 攻擊者使用多種前所未有的反檢測打包程式使最後階段的木馬程式更加隱蔽。 為了進一步避免被檢測到,有些模組還利用數位證書進行了簽名。

攻擊者在最後階段使用了兩種類型的木馬程式。 這些木馬被用來獲得對系統的進一步訪問,來自控制伺服器的命令以兩種方式傳遞,通過 HTTP 網路通信和使用命名管道。 有些木馬版本能夠使用包含來自C2的數十個命令的命令系統。

這次的攻擊行動還使用了商業滲透工具,即SilentBreak和CobaltStrike。 它將眾所周知的技術與定製的解密器相結合,並首次觀察到使用 Windows 事件日誌將shellcode隱藏到系統中。

 


 

卡巴斯基首席安全研究員     鄧尼斯· 萊格佐

“我們見證了一種新的針對性惡意軟體攻擊技巧,它引起了我們的注意。 在攻擊中,威脅行為者會在Windows事件日誌中存儲和運行加密外殼代碼。 這是一種我們之前從未見到過的方法,反映出對威脅保持警惕的重要性,否則會讓我們措手不及。

我們認為,有必要將事件日誌技術添加到MITRE矩陣的“躲避檢測”部分的“隱藏人工製品”部分。 使用多個商業滲透套件這種事情也不是每天都能見到的。 ”

 

要瞭解更多有關事件日誌技術的詳情

點擊訪問 Securelist.com

要保護您免受無檔案惡意軟體及類似威脅的侵害,卡巴斯基建議:

使用一款可靠的端點安全解決方案。 卡巴斯基網絡安全解決方案中有專門的元件可以檢測文件行為中的異常,從而可以揭示任何無檔惡意軟體的活動。

安裝反APT和EDR解決方案,啟用威脅發現和檢測以及調查和及時的事件修復功能。

此外,為您的SOC團隊提供對最新的威脅情報的訪問,並對他們進行定期專業技能培訓。 所有這些服務均可在卡巴斯基專家安全框架內獲取。

集成適當的端點保護和專門服務,有助於抵禦高調的攻擊。 卡巴斯基管理檢測和回應服務可以在攻擊者實現其目標之前,在其早期階段識別和阻止攻擊。

 

 

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: