精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

APT29網(wǎng)絡(luò)間諜使用“域名幌子”技術(shù)規(guī)避檢測(cè)

責(zé)任編輯:editor007

作者:nana

2017-03-30 17:17:07

摘自:安全牛

3月27日,火眼威脅研究博客文章指出,俄羅斯網(wǎng)絡(luò)間諜組織APT29一直在用一種名為“域名幌子”(Domain Fronting)的技術(shù),讓目標(biāo)機(jī)構(gòu)難以識(shí)別惡意流量

3月27日,火眼威脅研究博客文章指出,俄羅斯網(wǎng)絡(luò)間諜組織APT29一直在用一種名為“域名幌子”(Domain Fronting)的技術(shù),讓目標(biāo)機(jī)構(gòu)難以識(shí)別惡意流量。

域名幌子是一種審查規(guī)避技術(shù),通過偽裝成去往合法主機(jī)如谷歌、亞馬遜或CloudFlare的流量,來繞過審查機(jī)制。Open Whisper Systems 最近實(shí)現(xiàn)了該技術(shù)以幫助埃及和阿聯(lián)酋的Signal用戶繞過政府審查。

火眼在其博客中寫道:

APT29(別名公爵、安逸熊、舒適公爵)至少2年前便已使用該技術(shù)。該組織據(jù)信是美國大選黑客事件和挪威著名公司攻擊活動(dòng)的背后黑手。

APT29使用了Tor匿名網(wǎng)絡(luò)與被感染主機(jī)通信。Tor流量會(huì)被某些防御機(jī)制認(rèn)為是可疑流量。為將Tor流量偽裝成合法流量,APT29使用了Meek插件,實(shí)現(xiàn)“域名幌子”,將發(fā)送到Tor的流量包裝進(jìn)看起來無害的 google.com HTTPS POST 請(qǐng)求中。

Meek工作流示意

在攻擊中,APT29使用PowerShell腳本和批處理文件在目標(biāo)系統(tǒng)上安裝Tor客戶端和Meek插件。他們利用了粘滯鍵輔助功能的漏洞,用Windows命令行程序(cmd.exe)替換了合法程序,獲取到以系統(tǒng)權(quán)限執(zhí)行命令的shell,可以添加或修改用戶賬戶。

執(zhí)行粘滯鍵漏洞利用的腳本還會(huì)創(chuàng)建一個(gè)名為“谷歌更新”的Windows服務(wù),確保該后門即便系統(tǒng)重啟也能駐留。

域名幌子技術(shù)廣為人知前就已被APT29加以利用了。通過公開的實(shí)現(xiàn),他們成功隱藏了自身網(wǎng)絡(luò)流量,都不用怎么研究或開發(fā),而且因?yàn)槭枪_的工具,還很難歸因溯源。在網(wǎng)絡(luò)中檢測(cè)此類活動(dòng)需要對(duì)TLS連接和有效網(wǎng)絡(luò)特征碼的可見性。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2025 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 南昌市| 潜江市| 洪洞县| 宜章县| 汕头市| 安多县| 台北市| 合水县| 玛曲县| 凤山市| 奉节县| 翁牛特旗| 德兴市| 津南区| 金昌市| 翁牛特旗| 北海市| 门源| 海门市| 横峰县| 汝州市| 阳江市| 潮州市| 富民县| 晴隆县| 宁南县| 汶上县| 磐石市| 秦安县| 德江县| 邳州市| 日土县| 阜阳市| 屏山县| 鄂伦春自治旗| 岑溪市| 兴义市| 什邡市| 通江县| 岗巴县| 白银市|