快递员也会黑了你的公司?DarkVishnya银行攻击事件浅谈

栏目: 编程工具 · 发布时间: 5年前

内容简介:2017至2018年,卡巴斯基实验室的专家被邀请研究一系列网络窃取相关事件,通过研究,我们发现这些事件都有一个共同的特征:即都包含一个连接到公司本地网络的未知直连设备。该设备可能被存放在任何位置,包括:办公室,区域办事处等。经过跟踪研究,我们发现此次攻击事件的主要目标是东欧银行,截至目前已经有至少8家银行受到攻击,造成的直接损失多大千万美元。我们把此次事件统一命名为”DarkVishnya”。经过分析,我们发现整个攻击大概分为三个阶段。

快递员也会黑了你的公司?DarkVishnya银行攻击事件浅谈

一、前言

2017至2018年,卡巴斯基实验室的专家被邀请研究一系列网络窃取相关事件,通过研究,我们发现这些事件都有一个共同的特征:即都包含一个连接到公司本地网络的未知直连设备。该设备可能被存放在任何位置,包括:办公室,区域办事处等。经过跟踪研究,我们发现此次攻击事件的主要目标是东欧银行,截至目前已经有至少8家银行受到攻击,造成的直接损失多大千万美元。我们把此次事件统一命名为”DarkVishnya”。

二、事件分析

经过分析,我们发现整个攻击大概分为三个阶段。

在第一阶段,网络攻击者会伪装身份,冒充快递员,求职人员进入想要攻击的目标场所。并将准备好的设备连接到本地网络,该设备可能被隐藏在会议室等不容易被发现的地方。

在DarkVishnya事件攻击中,攻击者会根据自身能力和喜好的不同而使用不同的攻击设备,这些设备包括以下列表:

1.低成本的笔记本电脑

2.Raspberry Pi 电脑(一种基于 Linux 的单片机电脑)

3.Bash Bunny(一个USB攻击工具)

该设备在本地网络中很难被发现,因为该攻击设备常常会被识别为未知的计算机,或是被识别为外部闪存驱动器乃至键盘等。另外,由于Bash Bunny(一个USB攻击工具)和USB闪存驱动器大小相似,使该设备隐藏性进一步增加。

攻击者攻击手段通常有以下几种:1.通过内置的恶意程序进行远程访问控制设备。2.通过USB连接GPRS/3G/LTE调制解调器进行远程访问控制设备。

第二阶段,当攻击者建立远程连接后,首先扫描本地网络,查找可被访问的共享文件夹,Web服务器等对外开放资源。其目的是获取网络相关信息,比如付款的相关服务器信息。与此同时,攻击者会通过暴力破解或嗅探的技术手段尝试登陆这些机器。攻击者采取本地释放shellcode的方法来对抗防火墙拦截。当防火墙阻止一个网段访问另一个网段,但允许反向连接时,攻击者会使用一个不同的载荷进行通信。

第三阶段,当攻击者成功登陆目标机器后,首先通过远程控制类软件留下可供访问的后门,然后使用 msfvenom (一个产生自定义的payload的程序)创建一些恶意服务,为了逃避白名单等检测机制,在整个攻击过程中,攻击者不会释放落地文件并且使用PowerShell。当遇到无法绕过的白名单或者PowerShell被阻止执行时,攻击者会使用远程 工具 运行想要执行的恶意文件。使用的远程工具包括:impacket,winexesvc.exe,psexec.exe。

三、事件总结

企业安全防护中物理层面通常是容易被忽视的,不管是物理入侵或是物理破坏等。应及时注意网络的物理隔离、扫描以及数据恢复等。


以上所述就是小编给大家介绍的《快递员也会黑了你的公司?DarkVishnya银行攻击事件浅谈》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

正当法律程序简史

正当法律程序简史

(美)约翰·V.奥尔特 / 杨明成、陈霜玲 / 商务印书馆 / 2006-8 / 14.00元

本书的主题——正当法律程序,是英美法的核心概念,它使诸如法治、经济自由、个人自治以及免于政府专断行为的侵害等价值观念具体化,因而是法学领域一个永恒的主题,数百年以来一直是法学家、法官及律师关注的重点。本书以极为简洁、精确的语言总结了五百年法律发展的恢弘历史,为人们描述了正当法律程序观念发展演变的清晰轨迹。而沿着这条轨迹,人们可以准确地了解正当法律程序这一重要概念所包含的广泛的问题。 作为一本......一起来看看 《正当法律程序简史》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

随机密码生成器
随机密码生成器

多种字符组合密码