2017~2018年間,Kaspersky實驗室(Kaspersky Lab)的專家們受邀研究了一系列的網絡盜竊事件。據悉,東歐至少有 8 家銀行成為了這種襲擊的目標,造成了數千萬美元的損失。
譯文整理節選如下:
2017至2018年,Kaspersky實驗室的專家被邀請研究一系列網絡竊取相關事件,通過研究,這些事件都有一個共同的特徵:即都包含一個連接到公司本地網絡的未知直連設備。該設備可能被存放在任何位置,包括:辦公室,區域辦事處等。
經過跟蹤研究,研究專家們把此次事件統一命名為”DarkVishnya”。隨著追蹤研究的深入分析,研究專家們發現整個攻擊大概分為三個階段。
第一階段,犯罪分子以快遞員、求職者等為幌子,潛入組織大樓、並將設備連接到本地網絡。在本地網絡內,該設備會顯示為“未知計算機、外部閃存驅動器、甚至鍵盤”。然後再通過內置或 USB 連接的 GPRS / 3G / LTE 調制解調器,遠程訪問被植入的設備。
攻擊的第二階段,攻擊者遠程連接到設備、並掃描本地網絡,以訪問共享文件夾、Web服務器、和其它開放式資源。用於獲取有關網絡的信息,尤其是業務相關的服務器和工作站。與此同時,攻擊者試圖暴力破解或嗅探這些機器的登錄憑證。
為克服防火牆的限制,它們使用本地TCP服務器來植入shellcode,若防火牆阻止其從一個網段跳躍到另一個網段、但允許反向連接,則攻擊者會藉助其它可被利用的資源,來構建所需的通信隧道。
隨後,犯罪分子會實施第三階段:登錄目標系統,使用遠程訪問軟件來保留訪問權限,接著在受感染的計算機上啟用 msfvenom 創建的惡意服務。因為黑客利用了無文件攻擊(Fileless Attacks)和 PowerShell,所以能夠繞過白名單技術、或者域策略。即便遇到了無法繞過的白名單,或者 PowerShell 被目標計算機阻止,網絡犯罪分子亦可藉助 impacket、winecesvc.exe 或 psexec.exe 等可執行文件,發動遠程攻擊。
最後,Kaspersky Lab曝光了如下惡意軟件:
信息安全行業專家提醒,企業安全防護中物理層面通常是容易被忽視的,不管是物理入侵或是物理破壞等。應及時注意網絡的物理隔離、掃描以及數據恢復等。有很大一部分企業機構或政府機構安全建設的主要精力都投入在業務外網安全上,辦公內網往往成為短板,卻不曾想這也是一個極大的安全隱患,一旦被攻破,丟失的都是核心數據。然而每個企業機構的信息安全現狀和業務情況都不相同,這也就意味著具體實施步驟和策略需要因地制宜。優炫軟件聚焦數據安全和數據庫,圍繞數據資產為不同行業客戶提供穩定、安全、行業領先的產品和解決方案。
閱讀更多 優炫軟件 的文章
