1.观成科技:Play勒索软件组织加密流量分析
2.黑客帝国2:重装上阵(黑客业务网)
观成科技:Play勒索软件组织加密流量分析
近年来,勒索勒索勒索软件组织的源码源码作业链条逐渐从“加密数据->收取赎金”转变到“数据窃取->加密数据->暗网披露窃取数据大小和内容描述->收取赎金”。勒索软件组织在获取到受害者的开源访问权限后,不会立刻进行勒索,软件而是勒索勒索进行横向移动、数据窃取等操作,源码源码源码精灵小程序从受害环境中窃取大量敏感、开源机密信息,软件用于二次勒索。勒索勒索当受害者不愿意支付赎金时,源码源码攻击者会在网络上进行数据泄露来威胁受害者支付赎金。开源这种攻击模式被称为“双重勒索”。软件为了达到数据窃取这一目的勒索勒索,多数勒索软件组织采用商业工具或开源工具,源码源码少数勒索软件组织选择自研工具。开源通过对这些商业工具和开源工具进行检测,我们可以提前在窃密阶段拦截勒索软件组织的白马查源码攻击,而对自研工具进行检测,还可以识别具体的勒索软件组织。
Play勒索软件组织是现今非常活跃的勒索软件组织之一,该组织采用双重勒索模式进行攻击,在窃取受害者敏感数据后才对受害者系统进行加密。Play勒索软件组织从年6月至今,对包括美国、加拿大、英国、德国、葡萄牙、丹麦、瑞典、以色列、韩国、中国台湾、世纪丰源码新西兰在内多个国家和地区的约多个企业及关键基础设施进行了攻击。年月,安全公司Adlumin称Play勒索软件疑似出售勒索服务,开始向勒索软件即服务(RaaS)模式转型。
Play勒索软件组织在窃密过程中,使用了自研武器Grixba、免费工具NetScan进行信息收集,使用商业工具SystemBC实现SOCKS5反向代理功能进行内网攻击,使用商业工具CobaltStrike实现命令与控制功能。观成科技瞰云加密威胁智能检测系统能够对Play勒索软件组织使用的自研工具Grixba、商业工具SystemBC和CobaltStrike进行有效检测。
攻击者通过漏洞利用获取到受害单位对外服务器的访问权限,通过该服务器进行信息收集,得到域控服务器地址,完成权限提升。随后在内网中进行横向移动,趣充源码拿到内网其他主机的访问权限,部署远控木马和窃密木马,收集内网主机上的机密数据发送给C&C服务器,最后加密内网中主机与服务器的文件。
Play勒索软件组织常利用漏洞(如CVE--、CVE--、CVE--、CVE--等)、钓鱼邮件和有效账户获取初始访问权限,然后通过AdFind 工具获取活动目录,使用NetScan、Grixba进行网络扫描,收集信息,配合使用 GMER、IOBit和PowerTool等工具禁用杀毒软件并且删除日志记录。Play勒索软件组织使用CobaltStrike进行命令与控制操作,备案查源码通过SystemBC、Empire、PsExec和RDP进行内网横向移动,并使用WinRAR压缩内网中敏感数据,利用WinSCP和Plink将数据窃取到远程服务器,最终通过AES和RSA算法加密文件,并将文件后缀修改为“.play”,完成窃密+勒索的攻击过程。
Grixba是Play勒索软件组织自主研发的一种网络扫描工具,用于枚举域中所有用户和计算机。Grixba通过WMI、WinRM、远程注册表和远程服务来枚举软件和服务器。Grixba会检查安全软件、备份软件、远程管理工具等是否存在并将收集到的信息保存到CSV文件中,压缩为ZIP文件。
SystemBC是一种使用C语言编写的恶意软件,完整版SystemBC具有三种功能,一是将受害主机转变为SOCKS5代理,二是下载VBS、BAT、EXE等文件并执行,三是加载shellcode并执行。Play勒索软件在攻击活动中使用的SystemBC删减了功能二和三,只保留了SOCKS5代理功能。
观成科技瞰云加密威胁智能检测系统可成功对Play勒索软件组织使用的自研工具Grixba、商业工具SystemBC和CobaltStrike进行检测。
Play勒索软件组织在攻击过程中多以开源工具和商业工具为主,少量使用自研工具。自研工具如Grixba流量特征明显,商业工具如CobaltStrike、SystemBC具有时间和空间侧的可检测特征,在流量侧对这些工具进行检测,有助于在攻击初期提前发现攻击活动,防止机密数据被加密勒索,有效减少数据和财产损失。而开源SSH工具如WinSCP和Putty本身无恶意行为,利用它们进行数据窃取,会加大检测难度。观成科技安全研究团队会在SSH窃密流量检测方面持续发力,不断强化检测能力,覆盖勒索软件组织产生的更多加密流量。
黑客帝国2:重装上阵(黑客业务网)
在黑客业务网的最新动态中,英伟达——这个科技巨头再次成为了网络安全事件的焦点。让我们深入探讨一下这一事件的细节与影响,黑客组织LAP$的行动似乎并未能撼动英伟达的根基/。
据彭博、每日电讯报和TheVerge等权威媒体透露,英伟达近期遭受了来自南美LAP$黑客组织的侵袭。他们声称窃取了超过1TB的专有数据,但关键的是,LAP$已提前备份数据,英伟达的反击并未取得预期效果/。
尽管如此,英伟达在事态曝光后迅速采取了行动。他们在Hardwarexx网站上发布声明,表示已加强网络安全措施,并聘请专家应对,尽管没有证据表明勒索软件的使用或与国际冲突有关/。他们确认威胁者获取了员工凭证和一些专有信息,但强调业务不会受到显著影响。
值得注意的是,黑客泄露的焦点落在了英伟达的深度学习超级采样(DLSS)源代码上,这一技术对于提升游戏性能至关重要/。尽管英伟达之前已关闭源码以保护知识产权,但这一举措引发了业界和玩家的讨论。
市场上的竞争技术,如FSR和XeSS,选择开源,尽管它们的原理与DLSS不同,但DLSS的性能仍然受到认可。这次泄露的版本为DLSS 2.2,对于学习人工智能的学生来说,这无疑是一个了解大厂技术的好机会,可以借此拓宽知识视野,增加技术储备/。
尽管黑客的威胁持续存在,但英伟达的立场坚定,他们强调安全是公司日常运营的核心,对代码和产品的保护投入不遗余力/。此次事件提醒我们,无论在科技领域还是个人层面,保护信息安全都是当务之急。
总的来说,这次黑客攻击虽然造成了短暂的震动,但英伟达凭借其强大的安全措施和决心,预计不会对业务产生持久影响/。对于科技爱好者和行业观察者而言,这是一个警醒,也是对技术创新者进行安全教育的案例。