精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全行業(yè)動態(tài) → 正文

Fireeye:APT29曾利用前沿技術(shù)“域名前移”規(guī)避安全檢測

責(zé)任編輯:editor005 |來源:企業(yè)網(wǎng)D1Net  2017-03-29 11:24:22 本文摘自:E安全

安全廠商FireEye公司正繼續(xù)對APT29組織進行追蹤(又名The Dukes、舒適熊以及Cozy Duke),并于本周一透露稱,該網(wǎng)絡(luò)間諜集團曾經(jīng)利用一種名為“域名前移(domain fronting)”的技術(shù)提升對攻擊活動進行歸因的難度。

去年12月,Signal開發(fā)團隊正式介紹了“域名前移”這一能夠用于逃避審查機制的技術(shù)。

然而令人驚訝的是,APT29組織早在很久之前就已經(jīng)開始使用此類技術(shù),而當(dāng)時IT安全社區(qū)對此幾乎一無所知。

所謂域名前移技術(shù),是一種依賴在不同應(yīng)用層使用不同域名的方式逃避審查的技術(shù)手段。

Fireeye:APT29曾利用前沿技術(shù)“域名前移”規(guī)避安全檢測-E安全

根據(jù)加利福尼亞大學(xué)伯克利分校、Psiphon以及Brave New Software公司的研究人員們聯(lián)合發(fā)表的一篇論文所言,域名前移技術(shù)能夠“隱藏通信中的遠(yuǎn)程端點。域名前移作為應(yīng)用層起效,其利用HTTPS與違禁主機進行通信,但表面上看起來卻是在與其它主機通信,從而逃避安全審查。”

這份論文同時解釋稱,“其核心思路在于立足多個不同通信層使用不同域名。其中一個域名用于在HTTPS請求之外進行顯示——即存在于DNS請求與TLS服務(wù)器名指示當(dāng)中——而另一域名則為內(nèi)部真實存在,即包含于HTTP主機標(biāo)頭內(nèi)且受HTTPS加密保護而無法被審查機制所發(fā)現(xiàn)。在這種情況下,審查機制將無法判斷指向該域名的前移及未前移流量,因此只能選擇完全允許全部流量或者徹底屏蔽該域名——這無疑會造成昂貴的附加損害。”

這項域名前移技術(shù)易于部分及使用,且不需要由網(wǎng)絡(luò)中繼機制進行特殊操作。

APT29組織至少在兩年之前就已經(jīng)開始使用域名前移技術(shù),黑客們利用Tor網(wǎng)絡(luò)與受感染設(shè)備進行通信。為了將Tor流量偽造為合法流量,這群網(wǎng)絡(luò)犯罪分子使用了Meek——一款專門用于實現(xiàn)域名前移技術(shù)的Tor插件,其允許用戶在一條指向google.com的看似無害HTTPS POST請求內(nèi)發(fā)送實際指向Tor的流量。

Fireeye:APT29曾利用前沿技術(shù)“域名前移”規(guī)避安全檢測-E安全

FireEye公司發(fā)布的分析報告指出,“APT29The Onion Router(簡稱TOR)與TOR域名前移插件meek以創(chuàng)建一條隱藏的加密網(wǎng)絡(luò)隧道,且后者看似是在通過TLS接入谷歌服務(wù)。這條隧道能夠為攻擊者提供利用終端服務(wù)(簡稱TS)、NetBIOS以及Server Message Block(簡稱SMB)服務(wù)對主機系統(tǒng)的遠(yuǎn)程訪問能力,同時其流量看似指向合法網(wǎng)站。攻擊者亦利用一項常見的Windows安全漏洞以在未經(jīng)身份驗證的情況下訪問高權(quán)限命令shell。”

攻擊者們利用一套PowerShell腳本外加一個.bat文件在目標(biāo)系統(tǒng)上安裝Tor客戶端與Meek插件。

APT29組織利用Sticky Keys漏洞替換合法的Windows命令提示符(即cmd.exe)可執(zhí)行文件,并在目標(biāo)系統(tǒng)上獲取一條具備SYSTEM級別權(quán)限的shell。通過這種方式,攻擊者們得以執(zhí)行其它多項命令,其中包括添加新的帳戶。

分析報告進一步介紹稱,“攻擊者執(zhí)行Powershell腳本C:Program Files(x86)Googlestart.ps1以安裝TOR服務(wù)并實現(xiàn)‘Sticky Keys’漏洞。此套腳本在執(zhí)行后即被刪除,且不可恢復(fù)。”

這套負(fù)責(zé)執(zhí)行Sticky Keys漏洞的腳本亦被用于在目標(biāo)設(shè)備上實現(xiàn)持久駐留,其會創(chuàng)建一項名為“Google Update”的Windows服務(wù)。

分析報告總結(jié)稱,“通過采用這種公開的實現(xiàn)方案,他們能夠隱藏自己的網(wǎng)絡(luò)流量、最大程度降低研發(fā)需求并使用多種難于歸因的入侵工具。要在網(wǎng)絡(luò)之上成功檢測到此類活動,需要查看TLS連接并檢查實際網(wǎng)絡(luò)簽名。”

關(guān)鍵字:域名FireEye

本文摘自:E安全

x Fireeye:APT29曾利用前沿技術(shù)“域名前移”規(guī)避安全檢測 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全行業(yè)動態(tài) → 正文

Fireeye:APT29曾利用前沿技術(shù)“域名前移”規(guī)避安全檢測

責(zé)任編輯:editor005 |來源:企業(yè)網(wǎng)D1Net  2017-03-29 11:24:22 本文摘自:E安全

安全廠商FireEye公司正繼續(xù)對APT29組織進行追蹤(又名The Dukes、舒適熊以及Cozy Duke),并于本周一透露稱,該網(wǎng)絡(luò)間諜集團曾經(jīng)利用一種名為“域名前移(domain fronting)”的技術(shù)提升對攻擊活動進行歸因的難度。

去年12月,Signal開發(fā)團隊正式介紹了“域名前移”這一能夠用于逃避審查機制的技術(shù)。

然而令人驚訝的是,APT29組織早在很久之前就已經(jīng)開始使用此類技術(shù),而當(dāng)時IT安全社區(qū)對此幾乎一無所知。

所謂域名前移技術(shù),是一種依賴在不同應(yīng)用層使用不同域名的方式逃避審查的技術(shù)手段。

Fireeye:APT29曾利用前沿技術(shù)“域名前移”規(guī)避安全檢測-E安全

根據(jù)加利福尼亞大學(xué)伯克利分校、Psiphon以及Brave New Software公司的研究人員們聯(lián)合發(fā)表的一篇論文所言,域名前移技術(shù)能夠“隱藏通信中的遠(yuǎn)程端點。域名前移作為應(yīng)用層起效,其利用HTTPS與違禁主機進行通信,但表面上看起來卻是在與其它主機通信,從而逃避安全審查。”

這份論文同時解釋稱,“其核心思路在于立足多個不同通信層使用不同域名。其中一個域名用于在HTTPS請求之外進行顯示——即存在于DNS請求與TLS服務(wù)器名指示當(dāng)中——而另一域名則為內(nèi)部真實存在,即包含于HTTP主機標(biāo)頭內(nèi)且受HTTPS加密保護而無法被審查機制所發(fā)現(xiàn)。在這種情況下,審查機制將無法判斷指向該域名的前移及未前移流量,因此只能選擇完全允許全部流量或者徹底屏蔽該域名——這無疑會造成昂貴的附加損害。”

這項域名前移技術(shù)易于部分及使用,且不需要由網(wǎng)絡(luò)中繼機制進行特殊操作。

APT29組織至少在兩年之前就已經(jīng)開始使用域名前移技術(shù),黑客們利用Tor網(wǎng)絡(luò)與受感染設(shè)備進行通信。為了將Tor流量偽造為合法流量,這群網(wǎng)絡(luò)犯罪分子使用了Meek——一款專門用于實現(xiàn)域名前移技術(shù)的Tor插件,其允許用戶在一條指向google.com的看似無害HTTPS POST請求內(nèi)發(fā)送實際指向Tor的流量。

Fireeye:APT29曾利用前沿技術(shù)“域名前移”規(guī)避安全檢測-E安全

FireEye公司發(fā)布的分析報告指出,“APT29The Onion Router(簡稱TOR)與TOR域名前移插件meek以創(chuàng)建一條隱藏的加密網(wǎng)絡(luò)隧道,且后者看似是在通過TLS接入谷歌服務(wù)。這條隧道能夠為攻擊者提供利用終端服務(wù)(簡稱TS)、NetBIOS以及Server Message Block(簡稱SMB)服務(wù)對主機系統(tǒng)的遠(yuǎn)程訪問能力,同時其流量看似指向合法網(wǎng)站。攻擊者亦利用一項常見的Windows安全漏洞以在未經(jīng)身份驗證的情況下訪問高權(quán)限命令shell。”

攻擊者們利用一套PowerShell腳本外加一個.bat文件在目標(biāo)系統(tǒng)上安裝Tor客戶端與Meek插件。

APT29組織利用Sticky Keys漏洞替換合法的Windows命令提示符(即cmd.exe)可執(zhí)行文件,并在目標(biāo)系統(tǒng)上獲取一條具備SYSTEM級別權(quán)限的shell。通過這種方式,攻擊者們得以執(zhí)行其它多項命令,其中包括添加新的帳戶。

分析報告進一步介紹稱,“攻擊者執(zhí)行Powershell腳本C:Program Files(x86)Googlestart.ps1以安裝TOR服務(wù)并實現(xiàn)‘Sticky Keys’漏洞。此套腳本在執(zhí)行后即被刪除,且不可恢復(fù)。”

這套負(fù)責(zé)執(zhí)行Sticky Keys漏洞的腳本亦被用于在目標(biāo)設(shè)備上實現(xiàn)持久駐留,其會創(chuàng)建一項名為“Google Update”的Windows服務(wù)。

分析報告總結(jié)稱,“通過采用這種公開的實現(xiàn)方案,他們能夠隱藏自己的網(wǎng)絡(luò)流量、最大程度降低研發(fā)需求并使用多種難于歸因的入侵工具。要在網(wǎng)絡(luò)之上成功檢測到此類活動,需要查看TLS連接并檢查實際網(wǎng)絡(luò)簽名。”

關(guān)鍵字:域名FireEye

本文摘自:E安全

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 阳新县| 苗栗县| 武夷山市| 同德县| 崇州市| 南靖县| 历史| 伊川县| 玛多县| 会宁县| 英山县| 临桂县| 乐安县| 南投县| 英山县| 吕梁市| 桂林市| 民勤县| 浑源县| 蓝山县| 西吉县| 稷山县| 辽宁省| 邵东县| 梅州市| 恩平市| 东阿县| 临海市| 杭锦旗| 庆城县| 深圳市| 梨树县| 长治市| 南木林县| 电白县| 夹江县| 饶阳县| 茂名市| 理塘县| 什邡市| 万源市|