云原生網絡取證和響應平臺提供商Cado Security公司研究員Matt Muir在其發表的一篇文章中指出,“CoinStomp在之前的加密劫持攻擊中使用了時間戳。然而,這不是一種常見的技術。這種技術通常被用作一種反取證措施,以阻礙調查人員的調查和受害方的補救工作。”
Cybellum公司安全研究員和開發人員Gal Lapid解釋說,網絡攻擊者經常更改關鍵文件。他說,“很多時候,這些文件位于包含許多同時生成的文件的文件夾中,一旦有一個文件‘不合適’(最近被更改過),就可能會引發一些危險信號。因此,網絡攻擊者可以復制文件夾內其他文件的時間戳,從而躲避安全檢測。”
惡意軟件刪除加密策略文件
Vulcan Cyber??公司的網絡安全工程師Mike Parkin指出,一些APT小組的工具包中包含時間戳操作。他說,“這并不是一種晦澀難懂的技術。”
CoinStomp惡意軟件還發出命令以刪除系統上的加密策略文件,甚至終止加密進程。Cado Security公司的Muir寫道,“顯然,加密策略的執行對惡意軟件的部署產生了切實的影響。如果惡意應用程序使用不安全的協議,加密策略可能會阻止下載額外的有效負載,也可以防止惡意應用程序運行。”
CoinStomp團伙精通云計算技術
為了發出命令和控制惡意軟件,CoinStomp團伙在Linux系統上使用/dev/tcp文件創建了一個反向shell。Muir解釋說,“大多數Linux發行版都支持通過/dev/tcp設備文件對遠程主機進行讀/寫操作。當然,這對于惡意軟件開發人員來說是完美的,因為它是一種創建反向shell或C2通信通道的簡單且原生支持的方法。”
北美共享評估指導委員會主席Nasser Fattah補充說:“由于/dev/tcp是Linux的原生版本,旨在與其他計算機通信,網絡攻擊者可以利用該文件,并將其作為常見的預期網絡流量,例如HTTP。”北美共享評估指導委員會是第三方風險管理提供工具和認證的公司聯盟。
Muir認為,CoinStomp團伙展示了網絡攻擊者在云安全領域的復雜性和專業知識。他寫道,“采用反取證技術,并通過刪除加密策略來削弱目標機器的安全性,不僅表明了網絡攻擊者對Linux安全措施的了解,而且還表明了對事件響應過程的理解。”
敏銳地意識到如何在Linux上進行檢測
Muir補充說,使用/dev/tcp創建用于通信的反向shell也是一種高級技術。他指出,“C2通信通常很嘈雜,并且很容易被監控工具發現,但使用端口443有助于使這種流量看起來合法。”
Arctic Wolf公司首席技術官Ian McShane發現CoinStomp是一種不尋常的網絡攻擊。他說,“由于反向shell的使用和避免常見安全控制的能力,CoinStomp團伙敏銳地意識到在Linux上進行安全檢測的方式,并且能夠針對不一定對互聯網通信開放的基礎設施進行攻擊。”
Valtix公司首席安全研究員Davis McCarthy補充說,“CoinStomp團伙具有前瞻性思維,他們正在使用復雜技術來應對可能遇到的安全控制措施。”
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號