聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
SafeBreach 公司的安全研究员指出,攻击者能够使用在线沙箱服务从隔离网络中渗透数据。
这项新研究基于云反病毒程序可被用于窃取数据的基础上。去年,SafeBreach 实验室的研究员 Itzik Kotler 和 Amit Klein 展示了滥用这种渗透方法的 PoC 恶意软件,并表示即使在没有互联网直接连接的端点上,这种方法也可起作用。
研究人员指出,这种渗透方法依靠的是在由受攻陷端点上主恶意软件进程创建的可执行文件内部压缩数据。这样,如果端点上的反病毒程序将这个可执行文件上传到云中进行进一步检查,即使该文件是在互联网沙箱中执行的,数据也会遭渗透。
如今,SafeBreach 实验室的安全研究员 Dor Azouri 表示,网络沙箱服务也可用于同样的目的以及同样的情况下。不过 Azouri 在报告中指出,使用这种方法的攻击者需要了解目标网络的技术知识。
和之前提到的技术不同,利用网络沙箱服务的数据渗透技术依靠的不是能够在沙箱外活跃地进行通信的代码,而是使用沙箱服务数据库本身作为转移数据的中介。这种攻击方法并不要求将所需数据集成到可执行文件并通过查询沙箱服务的数据库检索该文件。
攻击始于恶意软件感染终端,从设备中收集敏感信息并将其压缩在被写入磁盘并执行以触发反病毒代理的文件内。接着,沙箱站点通过执行文件的方式对文件进行检查,随后分析结果会被保持在站点的数据库中。最后,攻击者使用站点的 API 抓取文件。
和去年说明的通过云反病毒程序渗透数据的方法不同,新方法并不要求所创建的可执行文件发出出站网络流量进行数据渗透。而且,这种方法会导致攻击者的可见性更低且更难以被跟踪,因为攻击者是被动地从沙箱服务数据库中收集数据。
然而,这种新技术仅可用于可疑样本被发送到在线沙箱引擎的网络,而且还需要攻击者能够知道目标组织机构正在使用哪种沙箱服务。此外,尽管遭渗透的数据被隐藏起来,但它们仍然公开出现在该服务的网络数据库中。
当目标组织机构将可疑文件发送到 VirusTotal 进行分析时,这种攻击即可派上用场。该服务要求预定才能访问分析文件的内容,但攻击者能够从数据库中找到他们正在查找的确切的可执行文件。
Azouri 提出了一些可执行此攻击的方式,即使用 spacebin 的 MagicString(攻击者可对数据进行编码和加密以免遭泄露)以及将数据嵌入众所周知的恶意软件中。
Azouri 总结道,“具备上传和搜索功能的公开沙箱服务可用作数据渗透的手段。这些服务的数据库是将隐藏在源机器中的数据传输到正在查找数据的攻击者手中的中介。这种渗透模型可能会产生许多变化,每种模式的隐秘程度都不相同,实现的难易程度也不同,准确度和能力方面也不尽相同。我们仅展示了其中的一些情况。”
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。