برای سال کره شمالی لازاروس گروه هکرها را غارت و غارت جهانی اینترنت scamming و آلوده کردن دستگاه های دیجیتال در سراسر جهان برای جاسوسی سود و خرابکاری. یکی از سلاح های خود را انتخاب: یک اصطلاح لودر است که اجازه می دهد تا آنها را به صورت مخفیانه اجرا یک آرایه متنوع از نرم افزارهای مخرب در هدفمند مکینتاش با سختی ردیابی. اما لازاروس ایجاد نمی لودر خود را در آن. این گروه به نظر می رسد به آن را پیدا کرده اند تخمگذار در اطراف آنلاین و repurposed آن را به بالا بردن حملات خود را.

واقعیت از نرم افزارهای مخرب استفاده مجدد—اغلب شناخته شده به عنوان “زندگی در خارج از زمین” — است که به خوبی تاسیس شده است. NSA گزارش reuses نرم افزارهای مخرب به عنوان اسپانسر ایالتی برای هکرها از چین و روسیه و کره شمالی و جاهای دیگر. اما در کنفرانس امنیتی RSA در سان فرانسیسکو در جمعه سابق آژانس امنیت ملی تحلیلگر و Jamf محقق پاتریک وردل را نشان می دهد به خصوص تاثیرگذار مثال از اینکه چگونه همه جا حاضر و گسترده استفاده مجدد از نرم افزارهای مخرب است که واقعا حتی در مکینتاش—و چگونه حیاتی آن است که به تهدید جدی است.

“شما را به نرم افزارهای مخرب است که شخص دیگری ایجاد کرده و تجزیه و تحلیل آن و سپس آن را به طوری شما می توانید نقل و آن را” وردل می گوید. “چرا شما توسعه جدیدی است که سه حرف سازمان ها و گروه های دیگر در حال ایجاد باور نکردنی نرم افزارهای مخرب است که به طور کامل برجسته به طور کامل تست شده و در بسیاری از اوقات حتی در حال حاضر آزمایش شده است در طبیعت.”

محققان دیدم لازاروس گروه با استفاده از اوایل تکرار لودر در سال 2016 و 2018 و ابزار همچنان به تکامل و بلوغ. هنگامی که لازاروس کلاهبرداری یک قربانی به نصب لودر—به طور معمول از طریق فیشینگ و یا یکی دیگر از کلاهبرداری—این چراغ به مهاجم سرور. سرور با ارسال رمزگذاری, نرم افزار لودر برای رمزگشایی و اجرا کنید.

لودر وردل بررسی است به خصوص جذاب به دلیل آن است که طراحی شده است برای اجرای هر چه “حمل بار” و یا نرم افزارهای مخرب آن را دریافت به طور مستقیم در کامپیوتر حافظه با دسترسی تصادفی به جای نصب آن بر روی هارد دیسک است. شناخته شده به عنوان یک fileless تروجان حمله و این باعث می شود آن را بسیار سخت تر برای تشخیص نفوذ یا بررسی یک حادثه به دلیل نرم افزارهای مخرب را ترک نمی کند پرونده تا به حال نصب شده بر روی سیستم. و وردل اشاره می کند که این لودر و یک “مرحله اول” حمله ابزار است که حمل بار-اگنوستیک به این معنی که شما می توانید استفاده از آن برای اجرای هر نوع “مرحله دوم” حمله شما می خواهید بر روی یک هدف سیستم. اما لازاروس نمی آمد تا با تمام این کلاهبرداری های چشمگیر خود را.

“تمام کد های که پیاده سازی در حافظه لودر در واقع برداشت از یک Cylance پست وبلاگ و GitHub پروژه که در آن آنها منتشر شد برخی از کد منبع باز به عنوان بخشی از تحقیقات” وردل می گوید. Cylance است یک آنتی ویروس شرکت که همچنین تهدید انجام تحقیقات است. “زمانی که من در تجزیه و تحلیل لازاروس گروه لودر من در بر داشت در واقع یک بازی دقیق است. جالب است که لازاروس گروه برنامه نویسان یا گوگل و یا این شاهد ارائه و در مورد آن در نفوذ کنفرانس در سال 2017 یا چیزی.”

این نشان می دهد استفاده مجدد از مزایای به حمله بازیافت پیچیده ابزار و نرم افزارهای مخرب—که آیا آنها می آیند از سازمان های اطلاعاتی و یا باز کردن منبع پژوهش است. سرقت ویندوز ابزار هک EternalBlue توسعه یافته توسط NSA و پس از آن به سرقت رفته و در سال 2017 به بیرون درز کرده است infamously استفاده شده است تقریبا هر هک گروه در خارج وجود دارد, از چین و روسیه به سندیکاهای جنایی. اما در حالی که بازیافت به طور گسترده ای شناخته شده هکر عمل وردل اشاره می کند که فقط دانستن در مورد آن انتزاعی کافی نیست. او استدلال می کند که امنیت حرفه ای نیاز به معنی تمرکز بر مکانیک روند به طوری که آنها می تواند غلبه بر کاستی های موجود حمایت و تشخیص نرم افزارهای مخرب روش.

را امضا مبتنی بر دفاع است که کار با اصل اثر انگشت برنامه های مخرب و اضافه کرد که شناسه به لیست سیاه. به طور منظم آنتی ویروس و نرم افزارهای مخرب اسکن ابزار است که تکیه بر امضا به طور کلی موفق به پرچم مورد استفاده مجدد قرار malware چرا که حتی جزئی ترفند جدید مهاجم باعث تغییر برنامه “امضا می کند.”

نرم افزارهای مخرب است که به طور معمول راه اندازی برای بررسی از طریق اینترنت با یک سرور از راه دور—یک به اصطلاح “فرماندهی و کنترل سرور”—برای پیدا کردن آنچه به انجام بعدی. در برخی موارد حمله به تعمیرات اساسی گسترده یافت تروجان به استفاده مجدد از آن اغلب به عنوان مورد با لازاروس لودر آنها به سادگی می توانید ترفند کوچک مانند تغییر فرماندهی و کنترل آدرس به نقطه به سرور خود به جای توسعه دهنده اصلی است. بازیافت هنوز هم نیاز به انجام به اندازه کافی تجزیه و تحلیل به اطمینان حاصل شود که نرم افزارهای مخرب نویسندگان نیست و طراحی یک راه برای نرم افزارهای مخرب به عقب نشینی به اصلی کنترل سرور اما هنگامی که آنها مطمئن شوید که آنها پاک صاحبان قبلی آنها می توانیم فرض کنترل کامل.

“این است که چرا من فکر می کنم رفتار مبتنی بر تشخیص بسیار مهم است می گوید:” وردل که ارائه تکنیک های رمان برای رفتار مبتنی بر تشخیص در macOS در RSA سال گذشته است. “از یک رفتار از نقطه نظر repurposed نرم افزارهای مخرب به نظر می رسد و عمل دقیقا همان به عنوان سلف خود. بنابراین ما نیاز به ایجاد انگیزه ابزار امنیتی جامعه به گام بیشتر و بیشتر دور از امضای مبتنی بر تشخیص به دلیل آن را غیر قابل قبول است که اگر نقل و نرم افزارهای مخرب می تواند به غیر قابل تشخیص است. Repurposed نرم افزارهای مخرب باید نمی مطرح هر گونه تهدید اضافی.”

بازیافت بدافزار همچنین به طور بالقوه برای گل آلود اسناد به روسیه نخبگان هکرها می دانم که همه به خوبی. اگر یک بازیگر خاصی ایجاد یک علامت تجاری نرم افزارهای مخرب می توان آن را آسان فرض کنیم که تمام فعالیت های به کارگیری این ابزار می آید از همان گروه است.

که گمنامی است و بدیهی است که سود برای حمله, اگر چه, و یکی از بسیاری آمده است که با نرم افزارهای مخرب آلوده استفاده مجدد. به همین دلیل وردل بر نیاز به نگه داشتن چشم و نزدیک در چنین بازیافت در طول زمان است.

“لازاروس گروه اول مرحله لودر به من به نظر می رسد مانند کامل مطالعه موردی” وردل می گوید. “آن درایو صفحه اصلی نقطه است که با توانایی به repurpose نمونه متوسط هکر می تواند تسلیحاتی پیشرفته نرم افزارهای مخرب برای اهداف خود و امضای مبتنی بر تشخیص در حال رفتن به آن را گرفتن.”


بزرگ تر سیمی داستان
  • رفتن فاصله (و فراتر از آن) برای گرفتن ماراتن متقلب
  • ناسا حماسه قمار به خاک مریخ به زمین
  • چگونه چهار هکرهای چینی گفته می شود در زمان پایین Equifax
  • احسان توسط از دست رفته زایمان? اطلاعات زرنگ و دانا تکنولوژی کمک می کند
  • این آتش سوزی عکس یادآوری مداوم از هرج و مرج
  • 👁 تاریخچه راز از صورت به رسمیت شناختن. به علاوه آخرین اخبار در مورد هوش مصنوعی
  • ✨ خود را بهینه سازی صفحه اصلی زندگی ما با دنده تیم بهترین میدارد از ربات خلاء به قیمت مناسب تشک هوشمند بلندگو

tinyurlis.gdv.gdv.htu.nuclck.ruulvis.netshrtco.detny.im