您当前所在的位置是: 主页 > 历史咨询 >
广告营销软件从“极光Aurora攻击行动”中借鉴技术
发布日期:2021-07-21 12:56   来源:未知   阅读:

  来自Carbon Black的安全专家们发现某竞选广告开始利用源自Aurora攻击行动的混淆技术

  E安全9月29日讯 来自Carbon Black的安全专家们已经发现一款新型竞选广告软件,其中使用到非常成熟的混淆技术。

  该广告软件以往曾被用于散布勒索软件,且其使用的战术与由民族国家发动的Aurora作战行动非常类似。

  Carbon Black就此发布了一份报告,其中详细阐述了威胁行为背后所采用的高复杂度混浠技术。

  “就在本周早些时候,Carbon Black在与CB用户交流社区进行沟通时,玉观音心水论ww066266com香。发现一系列源自OpenCandy与Dealply等知名广告软件变种相关的异常活动,其已经利用极为复杂的混淆技术成功入侵Chromium(这一混淆技术此前则由Carbon Black在调查民族国家攻击活动——即Aurora行动——时观察到,其目标指向包括谷歌及Adobe在内的多家知名大厂)。”感兴趣的朋友可以点击此处参阅由Carbon Black发布的报告,其中提到“这些混淆技术能够凭借二进制碎片机制轻松突破沙箱环境及其它入侵检测技术。”

  “就在本周早些时候,Carbon Black在与CB用户交流社区进行沟通时,发现一系列源自OpenCandy与Dealply等知名广告软件变种相关的异常活动,其已经利用极为复杂的混淆技术成功入侵Chromium(这一混淆技术此前则由Carbon Black在调查民族国家攻击活动——即Aurora行动——时观察到,其目标指向包括谷歌及Adobe在内的多家知名大厂)。”感兴趣的朋友可以点击此处参阅由Carbon Black发布的报告,其中提到“这些混淆技术能够凭借二进制碎片机制轻松突破沙箱环境及其它入侵检测技术。”

  正如文章中所解释,专家们获得的首条线索在于,有客户发现了存在异常的命令行参数使用活动,而这正是Aurora行动的典型特征。此次攻击亦被称为“cmdline:cop与cmdline:/b”,报告中解释道。

  “有趣的是,我要求我的客户运行查询:cmdline:copy与cmdline:/b。Cb响应显示其命中了三次。我惊讶地直接站了起来。三年之前,我偶然发现了这一攻击向量……自那时开始直到上周,我再也没见过类似的情况。”报告补充称。

  “有趣的是,我要求我的客户运行查询:cmdline:copy与cmdline:/b。香港六合正版挂牌彩图,Cb响应显示其命中了三次。我惊讶地直接站了起来。三年之前,我偶然发现了这一攻击向量……自那时开始直到上周,我再也没见过类似的情况。”报告补充称。

  “在进一步排查过程中,我们不断发现有.dat文件被加入到各种异常文件类型当中,具体包括.txt、.png、.log、.ico以及.dll文件。这种状况非常可疑。”

  “在进一步排查过程中,我们不断发现有.dat文件被加入到各种异常文件类型当中,具体包括.txt、.png、.log、.ico以及.dll文件。这种状况非常可疑。”

  “因此,对于这部分‘异常’状况,我们开始逐步捋顺其进程树,并注意到启动它们的主进程并非高级混淆技术,而是‘常规’广告软件,且曾被多次标记为病毒。”

  “因此,对于这部分‘异常’状况,我们开始逐步捋顺其进程树,并注意到启动它们的主进程并非高级混淆技术,而是‘常规’广告软件,且曾被多次标记为病毒。”

  Carbon Black的专家们亦从众多其它客户处收到了类似的攻击报告或者支持请求。根据各位恶意软件研究人员的说明,受害者来自多个行业,且该广告软件的多个变种一直在发动有针对性的Enigma勒索攻击。

  根据Carbon Black高级咨询团队负责人Benjamin Tedesco的说法,这些源自Aurora行动的混淆技术能够轻松突破沙箱环境及其它入侵检测机制。

  一旦成功侵入目标设备,该恶意软件将能够投放有效栽花,从而执行其它恶意活动。

  这次以广告软件为掩饰的攻击活动,很可能代表着一轮极为复杂的新兴威胁趋势。

Power by DedeCms