跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

研究发现 17 种恶意框架用于攻击空隙网络


CHT丨情报收集

推荐的帖子

Hackernews 编译,转载请注明出处:消息来源:

http://hackernews.cc/wp-content/uploads/2021/12/b8f0f61e283c6b8fb2035976e63b7c9-600x313.jpg

仅在2020年上半年就发现了四种不同的用于攻击实体隔离(air-gapped)网络的恶意框架,此类工具包的总数达到17个,并为黑客提供了网络间谍和机密信息外泄的可乘之机。

“所有的框架都被设计成执行某种形式的间谍活动,所有的框架都使用 USB 驱动器作为物理介质,在目标实体隔离网络中传输数据,”ESET 研究人员 Alexis Dorais-Joncas 和 Facundo Muñoz 在一份对这些框架的综合研究报告中说。

实体隔离是一种网络安全措施,旨在通过物理隔离系统与其他不安全的网络,包括局域网和公共互联网,防止未经授权访问系统。这也意味着传输数据的唯一方法是使用物理设备连接,例如 USB 驱动器或外部硬盘。

鉴于该机制是 SCADA 和工业控制系统(ICS)采取防御的最常见方式之一,受到机构支持或参与国家行动的 APT 组织越来越多地将目光投向关键基础设施,希望利用恶意软件渗透实体隔离的网络,以监视有价值的目标。

http://hackernews.cc/wp-content/uploads/2021/12/7def49672e46e454846848426aa71d6-600x592.pnghttp://hackernews.cc/wp-content/uploads/2021/12/2f97c06fbe0211612352ba990adc826-600x508.png

这家斯洛伐克网络安全公司表示,不少于75% 的框架是利用 USB 驱动器上的恶意 LNK 或 AutoRun 文件对实体隔离系统的初步破坏,或者在实体隔离网络中横向移动。

Some frameworks that have been attributed to well-known threat actors are as follows —

以下是一些众所周知的攻击者的框架:

  • Retro ( DarkHotel 又名 apt-c-06或 Dubnium)
  • Ramsay  (DarkHotel)
  • USBStealer APT28 ,又名 sedinit,Sofacy,或 Fancy Bear)
  • USBFerry Tropic Trooper ,又名 apt23或Pirate Panda)
  • Fanny  ( Equation Group  )
  • USBCulprit  ( Goblin Panda ,又名 Hellsing 或 cycdek)
  • PlugX  ( Mustang Panda ) ,以及
  • Agent.BTZ Turla Group )

研究人员解释说: “所有的框架都设计了自己的方式,但它们都有一个共同点: 毫无例外,它们都使用了武器化的 USB 驱动器。”。“连接框架和离线框架之间的主要区别在于驱动器是否是武器化的。”

连接框架通过在连接系统中部署恶意组件来工作,该系统监视新 USB 驱动器的插入,并自动将攻击代码放置在气隙系统中,而像 Brutal Kangaroo、 EZCheese 和 ProjectSauron 这样的离线框架则依靠攻击者先感染自己的 USB 驱动器来从后门攻击目标机器。

http://hackernews.cc/wp-content/uploads/2021/12/2f97c06fbe0211612352ba990adc826-600x508.png

作为预防措施,携带关键信息系统和敏感信息的组织应该谨防对连接系统的直接电子邮件访问,禁用 USB 端口和清理 USB 驱动器,限制可移动驱动器上的文件执行,并定期分析气隙系统中是否有任何可疑活动的迹象。

“保持一个完全实体隔离系统可以提供了额外的保护,” Brutal Kangaroo说。“但是,就像所有其它安全机制一样,实体隔离不是一种万灵药,也不能防止黑客利用系统更新不及时或员工不良操作导致的漏洞。”

 

消息来源:TheHackerNews,译者:Zoeppo;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...