随着科技公司和政府努力应对威胁的规模,雇佣监视行业强大的移动间谍软件工具最近越来越受到关注。但针对笔记本电脑和台式电脑的间谍软件在一系列网络攻击中极为常见,从国家支持的间谍活动到出于经济动机的诈骗。
由于这种不断增长的威胁,来自事件响应公司Volexity和路易斯安那州立大学的研究人员上周在拉斯维加斯的黑帽安全会议上展示了新的和改进的工具,从业者可以使用这些工具来捕捉Windows 10、macOS 12和Linux计算机中的更多PC间谍软件。
广泛使用的PC间谍软件(这种类型经常记录目标,跟踪他们的鼠标和点击的移动,通过计算机的麦克风监听,并从相机中提取静态照片或视频)很难被检测到,因为攻击者故意将其设计为留下最小的足迹。
恶意软件(或其最重要的组件)不会像普通应用程序一样安装在目标计算机的硬盘上,而是只存在于目标计算机的内存或RAM中并运行。
这意味着它不会生成某些经典的危险信号,不会显示在常规日志中,并且会在设备重启时被清除。
进入“记忆取证”领域,这是专门针对开发技术,以评估在这个门槛空间发生了什么。在黑帽,研究人员特别宣布了基于他们对开源内存取证框架发挥性的发现的新检测算法。
Volexity主管安德鲁·凯斯(Andrew Case)在接受我们采访时表示:“五六年前,记忆取证在事故响应和执法领域的应用非常不同。“现在已经到了这样一个地步,即使在真正激烈的恶意软件调查之外,也需要内存取证。但是,对于要在法庭或某种类型的法律诉讼中使用的证据或记忆样本,我们需要知道工具是否按预期工作,以及算法是否有效。黑帽的这一最新成果实际上是一些核心的新技术,是我们构建验证框架努力的一部分。”
Case强调,扩展间谍软件检测工具是必要的,因为Volexity和其他安全公司经常看到黑客在其攻击中部署内存专用间谍软件的真实例子。
例如,在7月底,微软和安全公司RiskIQ发布了详细的发现和缓解措施,以对抗来自奥地利商业间谍软件公司DSIRF的Subzero恶意软件。
“迄今为止,观察到的受害者(以Subzero为目标)包括奥地利、英国和巴拿马等国的律师事务所、银行和战略咨询公司,”
Subzero的主要有效载荷“专门驻留在内存中,以逃避检测。它包含各种功能,包括键盘记录、捕获屏幕截图、过滤文件、运行远程外壳和运行任意插件。”
研究人员特别关注于磨练他们对不同操作系统如何与“硬件设备”或传感器以及键盘和摄像头等组件进行对话的检测。通过监控系统的不同部分如何运行和相互通信,并寻找新的行为或连接,内存取证算法可以捕捉和分析更多潜在的恶意活动。
例如,一个潜在的提示是监视一个一直在运行的操作系统进程,比如让用户登录到一个系统的功能,并且如果在该进程开始运行后有额外的代码注入到该进程中,就对其进行标记。如果代码是后来引入的,这可能是恶意操作的迹象。
“如果你在事件响应领域工作,你可能会一直看到这种恶意软件,”凯斯上周在他的黑帽演讲中说。“我们每天都看到这种针对我们客户的行为。如果您阅读其他安全供应商的报告,就会发现一个非常普遍的情况,即当您有一个针对某个组织的有动机的威胁组织时,无论是组织内部的研究小组、高管还是个人,部署在这些机器上的恶意软件都会利用对硬件设备的访问来获取真正敏感的信息。”
为了对给定时间设备内存中发生的事情进行取证分析,研究人员将内存转储到一种快照文件中,该文件包含当时存在的所有内容。如果您的笔记本电脑有16GB的内存,并且内存已满,您将从中取出一个16gb的文件。
但是,要实时检测攻击,组织需要提前在其设备上设置取证监控。并不是所有的操作系统都很容易进行这种监控。
尤其是苹果,它以封锁对macOS和iOS的访问以最小化系统可见性而闻名。该公司表示,它将这种方法作为一种安全措施,因为在它看来,用户不应该需要这种级别的访问权限才能在严格控制的苹果生态系统中操作。
但由于多种原因,这一立场一直存在争议,并与一些安全倡导者产生了紧张关系,他们表示,当苹果软件(尤其是iOS)中不可避免地出现可利用的漏洞时,这种方法给了黑客优势,因为防御者的洞察力和控制力更有限。
凯斯说:“这可能会加大利用的难度,也可能会加大恶意软件在系统上持续存在的难度。”。"但这也增加了取证的难度,所以争论是双向的。"
不过,该团队在为所有三种主要桌面操作系统开发检测工具方面取得了进展。凯斯强调,随着恶意软件越来越多的扩散,我们的目标只是尽可能多地检测间谍软件。
“我们与世界各地和美国的大量目标明确的组织合作,而正是这些组织本身成为了目标。但很多时候,组织或政治运动中的个人也是这类恶意软件的目标。”
“因此,我们的研究越深入,我们的取证工具越好,我们就越能发现这种行为,并使攻击者更难进入一个环境,停留在那里,并不能获得他们想要的数据。”
原文始发于微信公众号(网络研究院):间谍软件猎人正在扩展他们的工具集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论