打破坏处
打破坏处

119.一杯热气腾腾的恶意Javascript


以下是我们讨论过的每篇文章中的一些亮点:

DDoSOS

  • 乌克兰计算机应急响应小组(CERT-UA)发布了针对亲乌克兰网站和政府门户网站的持续DDoS攻击警告。
  • 这个故事有点模棱两可,因为它不仅发生了DDoS攻击,而且攻击机制利用了受到威胁的WordPress站点
    • 一个不喜欢乌克兰的威胁者正在危害大量WordPress网站
    • 他们在这些页面上注入恶意Javascript,这些Javascript会引导任何访问网站的人(他们的安全控制没有检测到恶意代码)被征召到DDoS大军中
    • 然后他们的机器开始向真正的目标网站发送垃圾请求,这些网站是一些亲乌克兰的网站
    • 像往常一样,这不是一次破坏性的攻击,只是意味着那些亲乌克兰网站的合法访问者将更难访问
    • 通常情况下,如果你刷新一两次页面,你就能顺利通过
  • 如上所述,主要目标是亲乌克兰的网站,包括至少一个乌克兰政府官方网站和支持乌克兰击退俄罗斯入侵的私人网站
    • 如果你访问文章中列出的网站,它们都是合法的网站,但当然,随着DDoS的兴衰,你可能无法访问它们。
  • 目前,还没有关于谁可能是这些攻击的幕后黑手的信息
    • 在录音时,我们只知道威胁者是一个同情俄罗斯的人
    • 正如我们所知,归因并不容易,我认为能够做到这一点的人将会把精力留给更具破坏性的攻击者
    • 请记住,一些有时能提示调查人员的事情不会出现在这里
      • 例如,我们都听说过恶意软件变体,其中代码本身或代码注释中的某些内容会显示关于该代码的创建者或修改者的某些信息
  • 为了防范这类攻击,这里涉及到两类安全团队
    • 首先,你有专人负责保护这些WordPress网站不受攻击
      • 这些人需要不断更新他们的WordPress
      • 秘密其实在于你可以运行一个相当安全的WordPress网站,但你真的必须掌握一切
    • 然后,你有团队的任务是保持目标站点的正常运行,以应对DDoS等攻击
      • 这些团队的工作就有点困难了——你可能会认为这就像检测垃圾请求并拒绝它一样简单,同时承认合法的请求
      • 问题是,大多数ddose中的请求是“垃圾”的唯一原因是没有人真正尝试建立连接
      • 在其他方面,它们看起来与普通的互联网流量相同——至少设计良好的流量是这样,但许多DDoS攻击都有一些特征,因此提供缓解的供应商有时有一些选择来拒绝这些流量
      • 他们还可以做一些事情,比如快速改变网站的ip,以防止有问题的流量到达正确的服务器
      • 对于适度的DDoS攻击,这些措施可以有所帮助,但对于更大的攻击,即使是最好的DDoS缓解有时也会崩溃
      • 并不是所有的组织都能负担得起DDoS缓解,也不是所有的主机提供商都能提供它,或提供非常强大的版本。所以有时候,不幸的是,你只能挺过去

我觉得有问题

  • 使用复杂的FlowCloud RAT的威胁组织TA410实际上有三个在全球运作的子组织,每个子组织都有自己的工具集和目标
  • 简要介绍一下TA410的背景
    • 他们是一个网络间谍组织,活动可以追溯到2018年,尽管他们直到2019年才出现在雷达上
      • Proofpoint发现了一起使用LookBack恶意软件的网络钓鱼活动
      • 来自LookBack的是远程访问木马(RAT), FlowCloud
      • FlowCloud可以访问受感染计算机的键盘、鼠标、屏幕、文件、服务和进程控制等应用程序
    • 他们与与中国国家安全部有关联的APT10组织关系松散
    • 该组织的目标是公用事业部门的美国机构,以及中东和非洲的外交机构
    • ESET研究小组发现TA410实际上由三个亚群组成,分别是FlowingFrog、LookingFrog和JollyFrog
      • 这些群体在ttp、受害者特征和网络基础设施方面有重叠
      • 他们也都有全球目标
  • FlowingFrog
    • 他们的名字来自于FlowCloud后门木马
    • 他们与JollyFrog共享网络基础设施
    • 他们的目标通常是大学,但也曾对一家矿业公司和一个南亚国家的外交使团发动袭击乐动体育官网下载
    • FlowingFrog还使用恶意文档生成器,捷径
  • LookingFrog
    • 该组织通常针对外交使团、慈善组织以及政府和工业制造业的实体
    • 他们的名字来自LookBack恶意软件,但他们也使用X4
  • JollyFrog
    • 该小组的目标是教育、宗教和军事部门,但也发现目标是外交使团,就像前面讨论的小组一样
    • 他们通常使用现成的工具,而不是定制的工具(例如QuasarRAT和Korplug)。
  • TA410现在使用的是FlowCloud的升级版
    • FlowCloud是用c++编写的,并使用了许多混淆技术
    • 新的功能可以控制麦克风和触发录音,监控剪贴板活动和窃取内容,监控文件系统,并控制相机设备拍照

    两个真理和一个谎言

    介绍最新一期《绝命毒师》我们要玩一个你们可能都很熟悉的游戏,叫做两个真相和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,一个谎言。

    你将会找到答案!

    当前的记分板

    打破邪恶两个真相和一个谎言


    本周帽衫/糖果量表

    DDoSOS

    (泰勒):3.5/10的连帽衫
    (Tim):3/10的连帽衫

    我觉得有问题

    (泰勒):6.5/10的连帽衫
    (Tim):7/10的连帽衫


    这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的播客综述中。太平洋时间周三上午9点,我们将发布下一期播客和博客。

    *特别感谢John Roderick为我们提供了令人难以置信的播客音乐!