本周即将打破坏事。 今天我们讨论:赫兹不是吗?,,,,诱饵oy yoy yoy以及我们有趣的新游戏,两个真相和谎言。
以下是我们讨论的每篇文章中的一些亮点:
赫兹不是吗?
- Hertzbleed是一个新的侧通道攻击家庭:频率侧渠道
- 这些攻击使攻击者能够从远程服务器中提取加密密钥,这些密钥以前被认为是安全的
- 在这篇研究论文中,它证明了攻击者如何使用对超级同源的密钥封装(Sike)使用所选的亲密文章攻击,以通过远程计时执行钥匙提取
- 它没有定义为漏洞,但作为一个特征现代处理器
- 什么是侧通道攻击?
- 这些是执行的攻击没有实际侵犯了系统
- 运行操作时,您会创建一个特定的物理签名
- 此功能会加强您的中央处理单元(CPU)正在使用的功率
- 这些签名对于侧渠道攻击者试图了解已处理的信息时至关重要
- 这不是同类的第一次攻击
- 20多年来,使用了侧渠道攻击,尽管Hertzbleed具有以前尚未见过的其他功能
- 这包括远程部署(这使得比以前的侧通道攻击更容易部署)
- Hertzbleed还以“恒定时间”机制运行,该机制旨在消除一个过程完成的时间长度
- 这会影响谁?
- 密码工程师比普通用户更重要
- 所有英特尔处理器都容易受到Hertzble的影响以及许多AMD芯片
- 即使您不使用受影响的处理器,成千上万的服务器也可以
- 这也是较慢的攻击,据说需要“数小时到几天”才能窃取少量数据
- 目前,尚无使用Hertzbleed的已知攻击,尽管研究人员说,这种攻击的实际用法将具有重大的安全性影响
诱饵oy yoy yoy
- 两个中国黑客组织进行网络间谍活动并从日本和西方公司窃取知识产权正在部署勒索软件作为诱饵,以掩盖其恶意活动
- 勒索软件很可能被使用,因为它令人兴奋,具有新闻价值,而后卫(正确地)往往会在有迹象或拐点的迹象或证明时“吓坏”
- 目前尚不清楚这种策略在传播或发展的速度速度,但是我们在2018 Banco de Chile雨刮器攻击
- 这场最新的攻击是通过研究两组的SecureWorks发现的:青铜河滨”(APT41)和“青铜星光”(APT10)
- 这些组都使用HUI加载程序部署远程访问木马(老鼠),插件,钴罢工和Quasarrat
- HUI加载程序是一个自定义DLL加载程序,其名称是从加载程序中的字符串派生的
- 恶意软件是由容易受到DLL搜索顺序劫持的合法程序加载的
- 此HUI加载程序解密并加载第三个文件,该文件包含加密的有效载荷,该文件也已部署到受损的主机
- 2022年3月,“铜星”利用钴罢工来部署勒索软件菌株,例如Lockfile,Atomsilo,Rook,Rook,Night Sky和Pandora
- 在这些攻击中,使用了新版本的HUI加载程序(该版本能够钩住Windows API调用并禁用Windows(ETW)和Antimalware扫描界面(AMSI)功能的事件跟踪
- 基础设施再次成为阿喀琉斯高跟鞋!使用Atomsilo,Night Sky和Pandora在三场不同的攻击中的钴罢工信标的配置显示了共享的C2地址
- 此外,今年使用了相同的来源将HUI装载机样品上传到病毒总计上
- Part of the tipoff was activity that didn’t pass the sniff test: the activity and victimology of LockFile, AtomSilo, Rook, Night Sky, and Pandora are unusual compared to financially motivated ransomware operations, targeting a small number of victims over a brief period and then abandoning the project altogether (so this was a clue, behaviorally speaking)
- 这些攻击的目标是西方和日本公司作为主要目标
- 这些攻击的缓解措施是一些高级红外桌面以及威胁模型练习可以得到回报:防御者必须意识到,给定的攻击可能不是当时唯一发生的事情
- 团队可能被超载,无法问一个问题:“这里有不止一件事吗?”但不幸的是,我们确实必须保持警惕
两个真理和一个谎言
介绍我们有关破坏坏处的最新部分。我们将玩一个游戏,您都可能熟悉称为两个真相和谎言,并带有有趣的转折。每周,我们都准备好三个文章标题,其中两个是真实的,一个是一个谎言。
您必须收听才能找出答案!
当前记分牌
本周的连帽衫/糖果秤
赫兹不是吗?[泰勒]:4.75/10连帽衫
[丹尼尔]:8/10帽衫
诱饵oy yoy yoy[泰勒]:6.5/10连帽衫
[丹尼尔]:8/10帽衫
这就是我们本周所拥有的一切,您可以在Twitter上找到我们@Domaintools,我们播客中提到的所有文章将始终包含在我们的播客回顾中。当我们发布下一个播客和博客时,太平洋时间上午9点在星期三赶上我们。
*特别感谢约翰·罗德里克(John Roderick)令人难以置信的播客音乐!