日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
朝鮮黑客組織Kimsuky戰(zhàn)術(shù)披露,曝迄今未記錄的惡意組件

APT組織“ Kimsuky”,據(jù)悉最早于2012年開始活動(dòng)。該組織因?yàn)槿蛐缘膹V泛攻擊行動(dòng)而臭名昭著,主要針對(duì)韓國(guó)智囊團(tuán)、美國(guó)、俄羅斯和歐洲各個(gè)國(guó)家。

為會(huì)寧等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù),及會(huì)寧網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、會(huì)寧網(wǎng)站設(shè)計(jì),以傳統(tǒng)方式定制建設(shè)網(wǎng)站,并提供域名空間備案等一條龍服務(wù),秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求,就會(huì)得到認(rèn)可,從而選擇與我們長(zhǎng)期合作。這樣,我們也可以走得更遠(yuǎn)!

目前,Kimsuky已與多達(dá)三種迄今未記錄的惡意軟件相關(guān)聯(lián),其中包括一個(gè)信息竊取程序,一個(gè)配備了惡意軟件反分析功能的工具,以及一個(gè)新的服務(wù)器基礎(chǔ)設(shè)施(與舊的間諜框架有很大的重疊)。

技術(shù)細(xì)節(jié)

上周,聯(lián)邦調(diào)查局與國(guó)防部和國(guó)土安全部聯(lián)合發(fā)布了一份備忘錄,詳細(xì)介紹了Kimsuky的技術(shù)細(xì)節(jié)。

(1) 初始訪問

大多數(shù)情況下,Kimsuky利用魚叉式網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)的技巧來獲得對(duì)受害者網(wǎng)絡(luò)的初步訪問。此外,還會(huì)利用以安全警報(bào)為主題的網(wǎng)絡(luò)釣魚電子郵件、水坑攻擊,通過torrent共享站點(diǎn)分發(fā)惡意軟件,以及指示受害者安裝惡意瀏覽器擴(kuò)展程序等獲取訪問權(quán)限的手段。

(2) 執(zhí)行

獲得初始訪問權(quán)限后,Kimsuky使用BabyShark惡意軟件和PowerShell或Windows Command Shell執(zhí)行。其中,BabyShark是基于Visual Basic腳本(VBS)的惡意軟件,往往通過包含鏈接或附件的電子郵件傳遞。

(3) 維持權(quán)限

Kimsuky通過使用惡意瀏覽器擴(kuò)展,修改系統(tǒng)進(jìn)程,操縱執(zhí)行,使用遠(yuǎn)程桌面協(xié)議(RDP)以及更改應(yīng)用程序的默認(rèn)文件關(guān)聯(lián)等手段,從而獲取登錄名和密碼信息,或在某些應(yīng)用程序允許列表解決方案之外啟動(dòng)惡意軟件。

(4) 特權(quán)提升

在特權(quán)提升方面,Kimsuky使用的是眾所周知的方法:將腳本放入Startup文件夾,創(chuàng)建和運(yùn)行新服務(wù),更改默認(rèn)文件關(guān)聯(lián)以及注入惡意代碼。

(5) 防御規(guī)避

包括禁用安全工具,刪除文件以及使用Metasploit等。

(6) 憑證訪問

Kimsuky使用合法工具和網(wǎng)絡(luò)嗅探器從Web瀏覽器、文件和鍵盤記錄器中收集相關(guān)憑證。

發(fā)送嵌入BabyShark惡意軟件的電子郵件

新的惡意組件

近幾個(gè)月來,Kimsuky被歸因于許多以冠狀病毒為主題的郵件攻擊活動(dòng),以郵件中包含的武器化Word文檔為其感染媒介,在受害者計(jì)算機(jī)上發(fā)起惡意軟件攻擊。

現(xiàn)在,據(jù)Cybereason稱,名為“ KGH_SPY”的模塊化間諜軟件套件有了新功能,可以對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行偵察,捕獲擊鍵并竊取敏感信息。

除此之外,KGH_SPY后門還可以從C2服務(wù)器下載輔助負(fù)載,通過cmd.exe或PowerShell執(zhí)行任意命令,甚至可以從Web瀏覽器,Windows憑據(jù)管理器,WINSCP和郵件客戶端中獲取憑據(jù)。

同樣值得注意的是,還發(fā)現(xiàn)了一種名為“ CSPY Downloader”的新惡意軟件,該惡意軟件旨在逃避分析和下載額外有效負(fù)載的工具。

最后,研究人員還發(fā)現(xiàn)了在2019-2020年之間注冊(cè)的新工具集基礎(chǔ)架構(gòu),該基礎(chǔ)架構(gòu)與該組織的BabyShark惡意軟件重疊。

不同Kimsuky域的基礎(chǔ)結(jié)構(gòu)圖及其之間的重疊

最后,雖然這次活動(dòng)的受害者仍不清楚,但有線索表明,這些基礎(chǔ)設(shè)施針對(duì)的是處理侵犯人權(quán)行為的組織。未來,Kimsuky可能會(huì)針對(duì)許多行業(yè)、組織和個(gè)人進(jìn)行攻擊。


網(wǎng)站標(biāo)題:朝鮮黑客組織Kimsuky戰(zhàn)術(shù)披露,曝迄今未記錄的惡意組件
路徑分享:http://www.5511xx.com/article/dhgpopi.html