难以检测无纺丝攻击目标银行,其他组织
谷歌想要将智能工具带到覆盆子PI的电路板上
思考后的PC寿命,英特尔在无人机中拖动了1,099美元的Quadcopter
Capgemini转向Tech Startup,以识别“最啮合的”团队
Ransomware仍然是对企业的威胁,F-Secure警告
5个关于亚马逊Go的出纳杂货店的大问题
刑事法院审查委员会调查委员会在邮局计算机案件提出进一步查询
2016年企业计算的顶级趋势:容器,机器人,AI等
谷歌在新加坡开设第三个可用性区
ARM旨在提高IOT的物理安全性
从公共云中违反用户的成本和合规性
CES 2017的基本Apple用户指南
Home Office Brexit应用程序仅适用于Android用户
美国宇航局努力领先机器人空间机械师
HPE推出产品以实现IOT采用
微软:跳过“家居中心”并制作高端扬声器
最高法院在三星 - 苹果专利裁决留下差距
DaaTrics回答来自过度焦虑的新父母
Skype,WhatsApp面临欧洲的隐私规范
稳步下降零售脚步确认了消费者行为
NCSC表示,更有效的网络安全的多样性关键
在法拉第未来的工厂位置没有太多看法
爱沙尼亚的数字居住计划面临第一次逆风
KCOM选择AMDOC,以增强网络过渡
15件你从未知道Apple's'获得Mac'运动的事情
Microsoft CMO:强制Windows 10升级在一点是“痛苦”
据据报道,旧金山的Muni Transit System由赎金软件命中
韩国反垄断机构扣篮Qualcomm,罚款8.53亿美元
Starship的自治送货机器人获得商业推出
新的Microsoft Security Essentials,KB 3205972,修复右键单击扫描错误
经过一大2016年,明年可能是A.I.引爆点
Leeco与Android操作系统的智能自行车将难以窃取
黑莓打开自动驾驶和连接车辆研发中心
谷歌的受信任联系人可以帮助家庭保留在您身上 - 如果您想要它们
大多数人认为加密货币将在公共汽车上被2025年接受
O2和Arqiva在伦敦开始滚动小电池
参议员要求FTC调查Office Depot PC技术实践
Ashley Madison支付与数据违规有关的1.6亿美元的结算
韩国扣篮Qualcomm罚款853米
英特尔船焦耳550x计算机,但初始单位价格过高
Maplin在管理中:互联网连接问题备份卡片付款
危机文本线:为“科技让世界成为一个更好的地方”的“技术成为更好的地方”的理由
萨尔福德得到首席数字官员
英特尔的Optane:用户可以在PC中且何时发货
当自动化桌面工作时,IT人员需要重新培训
PC出货量预计在六年的滑行后,2018年恢复增长
据称黑客偷了美国选举机构的登录
NCSC显示支持安全通信的共同标准
ServiceNOW购买SaaS许可以驱动数字化
iOS的Cortana,Android现在可以快速访问常见操作
您的位置:首页 >论坛 > 电子业界 >

难以检测无纺丝攻击目标银行,其他组织

2021-08-03 08:44:13 [来源]:

最近受影响的银行和其他企业使用的攻击浪潮使用了直接装入内存而不是传统恶意软件的开源穿透测试工具,使其检测更加困难。

来自AntiVirus供应商Kaspersky Lab的研究人员开始在Securmed Bank发现的安全团队找到MeterProker(RAM)中的安全团队在服务器的随机存取存储器(RAM)中进行调查,该攻击作为组织的Windows域控制器的随机存取存储器(RAM)。

MeterPreter是一个内存攻击有效负载,可以将自己注入其他运行进程,并用于在受损系统上建立持久性。它是Metasploit渗透测试框架的一部分,一个流行的工具由内部安全团队和恶意黑客使用。

在分析过程中,卡巴斯基研究人员发现了存储在受影响服务器的系统注册表中的混淆PowerShell脚本,该脚本被设计为将MeterPreter直接加载到RAM中,而不留在硬盘驱动器上的任何迹线。

已经使用Metasploit框架生成了那些脚本,并且已被使用SC Windows命令行实用程序手动设置的恶意服务执行的CONPD。

PowerShell是一个脚本语言和解释器内置于Windows中,允许系统管理任务的自动化。

攻击者还使用Windows NetSh实用程序通过其他内部计算机设置代理隧道,以便远程控制MeterPreter运行的系统,而不会通过直接打开与外部IP地址的连接来升级疑似。

使用SC,NetSH和PowerShell等Windows实用程序需要管理员权限,该攻击者通过使用Mimikatz窃取凭据而获得的攻击者,该攻击者是渗透测试仪流行的另一个工具。

卡斯基研究人员在博客文章中表示,这些无用的攻击技术变得越来越普遍,特别是对银行业的组织。“遗憾的是,使用常用工具与不同的技巧相结合使得检测非常硬。事实上,在RAM,网络和注册表中只能检测到这种攻击。“

使用其传感器网络,Kaspersky在全球范围内的100个其他企业网络中找到了类似的PowerShell脚本。美国,法国,厄瓜多尔,肯尼亚和U.K.是受影响网络数量最多的国家。

除了使检测非常努力,使用标准Windows实用程序和开源工具而不是传统恶意软件程序的使用使得归因非常硬。如果这些攻击是由一组黑客或多个黑客犯下的攻击,则不清楚。

在过去的几年里,攻击者已经开始远离针对银行客户并直接在银行本身后走出来。有多个团伙专门从事黑客攻击银行“网络,然后研究其内部程序,以准备大规模的哈希。其他人试图访问ATM网络,以强制这样的机器在命令上分配金钱。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。