卡巴斯基专家:谨防事件日志中没有文件的恶意软件
雅加达 - 在最近的一项调查中,卡巴斯基专家发现了一个相当具体的针对性恶意软件活动。
此活动以其对Windows事件日志的创新使用而著称,它具有恶意软件存储,令人印象深刻的攻击技术,例如商业渗透测试套件和反检测包装器,包括使用Go编译的包装器。在活动期间使用了一些后期特洛伊木马。
卡巴斯基专家检测到一种有针对性的恶意软件活动,该活动使用一种独特的技术在Windows事件日志中隐藏“无文件”恶意软件。系统的初始感染是通过培养箱模块从受害者下载的档案中进行的。
攻击者使用各种无与伦比的反检测包装器来防止最后阶段特洛伊木马过于明显。为避免进一步检测,某些模块使用数字证书进行签名。
攻击者在最后阶段使用两种类型的特洛伊木马。它用于进一步访问系统,来自控制服务器的命令以两种方式发送,即通过HTTP网络通信和使用命名管道。该木马的某些版本成功地使用了包含来自 C2 的数十个命令的命令系统。
该活动还包括商业渗透测试工具,即SilentBreak和CobaltStrike。它将众所周知的技术与自定义解密器相结合,并使用第一个观察到的Windows事件日志将shellcode隐藏到系统中。
“我们正在见证一种令人兴奋的新的针对性恶意软件技术。对于此类攻击,网络犯罪分子存储然后从Windows事件日志中执行加密的shellcode,“卡巴斯基首席安全研究员Denis Legezo在一份声明中表示。
Legezo补充说,这是他们以前从未见过的方法,同时强调了对可能让你措手不及的威胁保持警惕的重要性。
“我们认为,将事件日志技术添加到MITER矩阵的”隐藏工件“部分的”预期防御“部分是有价值的,”他继续说道。
他还表示,使用多个商业渗透测试套件也不是你每天都能看到的。
为了保护自己免受无文件恶意软件和类似威胁的侵害,卡巴斯基建议:
使用可靠的端点安全解决方案。安装反 APT 解决方案和端点响应 (EDR),实现及时的威胁发现和检测、调查以及事件修复功能。此外,让您的 SOC 团队能够访问最新的威胁情报,并通过专业培训定期对其进行升级。集成适当的端点保护和专用服务,帮助防范备受瞩目的攻击。