精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

APT29網(wǎng)絡(luò)間諜使用“域名幌子”技術(shù)規(guī)避檢測(cè)

責(zé)任編輯:editor007

作者:nana

2017-03-30 17:17:07

摘自:安全牛

3月27日,火眼威脅研究博客文章指出,俄羅斯網(wǎng)絡(luò)間諜組織APT29一直在用一種名為“域名幌子”(Domain Fronting)的技術(shù),讓目標(biāo)機(jī)構(gòu)難以識(shí)別惡意流量

3月27日,火眼威脅研究博客文章指出,俄羅斯網(wǎng)絡(luò)間諜組織APT29一直在用一種名為“域名幌子”(Domain Fronting)的技術(shù),讓目標(biāo)機(jī)構(gòu)難以識(shí)別惡意流量。

域名幌子是一種審查規(guī)避技術(shù),通過偽裝成去往合法主機(jī)如谷歌、亞馬遜或CloudFlare的流量,來繞過審查機(jī)制。Open Whisper Systems 最近實(shí)現(xiàn)了該技術(shù)以幫助埃及和阿聯(lián)酋的Signal用戶繞過政府審查。

火眼在其博客中寫道:

APT29(別名公爵、安逸熊、舒適公爵)至少2年前便已使用該技術(shù)。該組織據(jù)信是美國大選黑客事件和挪威著名公司攻擊活動(dòng)的背后黑手。

APT29使用了Tor匿名網(wǎng)絡(luò)與被感染主機(jī)通信。Tor流量會(huì)被某些防御機(jī)制認(rèn)為是可疑流量。為將Tor流量偽裝成合法流量,APT29使用了Meek插件,實(shí)現(xiàn)“域名幌子”,將發(fā)送到Tor的流量包裝進(jìn)看起來無害的 google.com HTTPS POST 請(qǐng)求中。

Meek工作流示意

在攻擊中,APT29使用PowerShell腳本和批處理文件在目標(biāo)系統(tǒng)上安裝Tor客戶端和Meek插件。他們利用了粘滯鍵輔助功能的漏洞,用Windows命令行程序(cmd.exe)替換了合法程序,獲取到以系統(tǒng)權(quán)限執(zhí)行命令的shell,可以添加或修改用戶賬戶。

執(zhí)行粘滯鍵漏洞利用的腳本還會(huì)創(chuàng)建一個(gè)名為“谷歌更新”的Windows服務(wù),確保該后門即便系統(tǒng)重啟也能駐留。

域名幌子技術(shù)廣為人知前就已被APT29加以利用了。通過公開的實(shí)現(xiàn),他們成功隱藏了自身網(wǎng)絡(luò)流量,都不用怎么研究或開發(fā),而且因?yàn)槭枪_的工具,還很難歸因溯源。在網(wǎng)絡(luò)中檢測(cè)此類活動(dòng)需要對(duì)TLS連接和有效網(wǎng)絡(luò)特征碼的可見性。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2025 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 微博| 庆阳市| 龙州县| 拉孜县| 南涧| 丹凤县| 浙江省| 华蓥市| 潮州市| 商丘市| 吉林市| 宁武县| 叙永县| 蒙城县| 盘锦市| 金门县| 文安县| 泸州市| 印江| 徐州市| 铁岭县| 梨树县| 鸡西市| 滕州市| 高淳县| 密山市| 锡林浩特市| 莫力| 阿合奇县| 贺兰县| 临湘市| 庆安县| 玉门市| 通山县| 蛟河市| 阳信县| 吉首市| 古蔺县| 施秉县| 工布江达县| 宁都县|