国产2020精品视频免费播放,久久看久久做久久精品,欧美日韩精品视频一区二区,chinese fuck xxxx hd

卡巴斯基曝光DarkVishnya銀行內(nèi)網(wǎng)攻擊案件細(xì)節(jié)

摘要:在影視作品中,經(jīng)常能見到通過 USB 存儲器發(fā)起的網(wǎng)路入侵攻擊。劇情通常是從目標(biāo)公司中挑選一位容易下手的雇員,讓他在工作場所的某個地方插入。對于有經(jīng)驗(yàn)的網(wǎng)絡(luò)犯罪者來說,這顯然是一件很容易暴露的事情。但沒想到的是,同樣的劇情,竟然在現(xiàn)實(shí)中上演了。2017~2018 年間,卡巴斯基實(shí)驗(yàn)室的專家們,受邀研究了一系列的網(wǎng)絡(luò)盜竊事件。

它們之間有一個共同點(diǎn) —— 有一個直連公司本地網(wǎng)絡(luò)的未知設(shè)備。有時它出現(xiàn)在中央辦公室、有時出現(xiàn)在位于另一個國家或地區(qū)的辦事處。

      據(jù)悉,東歐至少有 8 家銀行成為了這種襲擊的目標(biāo)(統(tǒng)稱 DarkVishnya),造成了數(shù)千萬美元的損失。

      每次攻擊可分為相同的幾個階段:首先,網(wǎng)絡(luò)犯罪分子以快遞員、求職者等為幌子,潛入了組織的大樓、并將設(shè)備連接到本地網(wǎng)絡(luò)(比如某個會議室中)。

      在可能的情況下,該裝置會被隱藏或混入周圍環(huán)境,以免引起懷疑。如上圖所示的帶插座的多媒體桌子,就很適合植入隱蔽的設(shè)備。根據(jù)網(wǎng)絡(luò)犯罪分子的能力和個人喜好,DarkVishnya 攻擊中使用的設(shè)備也會有所不同。在卡巴斯基實(shí)驗(yàn)室研究的案例中,通常有如下三種: 

上網(wǎng)本或廉價(jià)筆記本電腦;

● 樹莓派計(jì)算機(jī);

● Bash Bunny -- 一款用于執(zhí)行 USB 攻擊的特殊工具。

在本地網(wǎng)絡(luò)內(nèi),該設(shè)備會顯示為“未知計(jì)算機(jī)、外部閃存驅(qū)動器、甚至鍵盤”。然后再通過內(nèi)置或 USB 連接的 GPRS / 3G / LTE 調(diào)制解調(diào)器,遠(yuǎn)程訪問被植入的設(shè)備。

  結(jié)合 Bash Bunny 在外形尺寸上與 USB 閃存盤差不多的事實(shí),這使得安全人員在搜索時,難以決定從何處先下手。

攻擊的第二階段,攻擊者遠(yuǎn)程連接到設(shè)備、并掃描本地網(wǎng)絡(luò),以訪問共享文件夾、Web 服務(wù)器、和其它開放式資源。

此舉旨在獲取有關(guān)網(wǎng)絡(luò)的信息,尤其是業(yè)務(wù)相關(guān)的服務(wù)器和工作站。與此同時,攻擊者試圖暴力破解或嗅探這些機(jī)器的登錄憑證。

   為克服防火墻的限制,它們使用本地 TCP 服務(wù)器來植入 shellcode 。

 

若防火墻阻止其從一個網(wǎng)段跳躍到另一個網(wǎng)段、但允許反向連接,則攻擊者會借助其它可被利用的資源,來構(gòu)建所需的通信隧道。

   得逞后,網(wǎng)絡(luò)犯罪分子會實(shí)施第三階段

 

登錄目標(biāo)系統(tǒng),使用遠(yuǎn)程訪問軟件來保留訪問權(quán)限,接著在受感染的計(jì)算機(jī)上啟用 msfvenom 創(chuàng)建的惡意服務(wù)。

因?yàn)楹诳屠昧藷o文件攻擊(Fileless Attacks)和 PowerShell,所以能夠繞過白名單技術(shù)、或者域策略。

即便遇到了無法繞過的白名單,或者 PowerShell 被目標(biāo)計(jì)算機(jī)阻止,網(wǎng)絡(luò)犯罪分子亦可借助 impacket、winecesvc.exe 或 psexec.exe 等可執(zhí)行文件,發(fā)動遠(yuǎn)程攻擊。

   最后,卡巴斯基實(shí)驗(yàn)室曝光了如下惡意軟件:

 

not-a-virus.RemoteAdmin.Win32.DameWareMEM:Trojan.Win32.CometerMEM:Trojan.Win32.MetasploitTrojan.Multi.GenAutorunRegHEUR:Trojan.Multi.PowecodHEUR:Trojan.Win32.Betabanker.gennot-a-virus:RemoteAdmin.Win64.WinExeTrojan.Win32.PowershellPDM:Trojan.Win32.CmdServTrojan.Win32.Agent.smbeHEUR:Trojan.Multi.Powesta.bHEUR:Trojan.Multi.Runner.jnot-a-virus.RemoteAdmin.Win32.PsExec

Shellcode 監(jiān)聽端口:

tcp://0.0.0.0:5190

tcp://0.0.0.0:7900

Shellcode 連結(jié)點(diǎn):

 

tcp://10.**.*.***:4444tcp://10.**.*.***:4445tcp://10.**.*.***:31337

Shellcode 管道:

\\.\xport\\.\s-pipe

文章轉(zhuǎn)載自百家號:CnBeta

發(fā)布者:angela   點(diǎn)擊數(shù):4413   發(fā)布時間: 2018-12-10 19:29:31   更新時間: 2018-12-10 19:29:31