잠재적으로 새로운 위협 행위자가 최근 두 가지를 손상시켰습니다. 중동 기반 통신 기관, 이전에는 볼 수 없었던 방법을 사용하여 악성 쉘코드를 대상 시스템에 은밀하게 로드하는 두 개의 백도어를 사용합니다.
Dark Reading과 공유한 보고서에서 Cisco Talos는 침입 세트의 이름을 "ShroudedSnooper"로 지정했습니다. 이전에 식별된 그룹과 활동을 연관시킬 수 없었기 때문입니다.
ShroudedSnooper는 널리 사용되는 소프트웨어 제품으로 위장하고 Windows 서버의 하위 수준 구성 요소를 감염시키는 등 광범위한 탐지 방지 메커니즘을 갖춘 "HTTPSnoop" 및 "PipeSnoop"라는 두 가지 백도어를 사용합니다. 일단 이식되면 쉘코드를 실행하여 사이버 공격자에게 피해자의 네트워크에 대한 지속적인 발판을 제공합니다. 측면 이동, 데이터 유출 또는 추가 악성 코드 삭제.
Cisco Talos의 수석 보안 연구원인 Vitor Ventura는 "이것들은 매우 은밀하게 작동한다고 말해야 합니다."라고 말합니다. “그들은 눈에 잘 띄는 곳에 숨을 것이다. 그리고 그들의 나쁜 행동과 좋은 행동을 구별하는 것은 엄청나게 어렵습니다. 꽤 영리해요.”
새로운 백도어 위협: HTTPSnoop
ShroudedSnooper 침입이 어떻게 달성되는지는 불분명하지만 연구원들은 공격자가 초기 액세스를 강화하기 위해 동적 링크 라이브러리 또는 실행 파일로 패키지된 HTTPSnoop을 사용하기 전에 취약한 인터넷 연결 서버를 악용할 가능성이 있다고 추측합니다.
기존의 경로를 택하는 대신 웹 셸 삭제 대상 Windows 서버에서 HTTPSnoop은 낮은 수준을 사용하여 더 은밀하고 우회적인 접근 방식을 취합니다. 윈도우 API 대상 시스템의 HTTP 서버와 직접 인터페이스합니다.
기생충과 마찬가지로 커널 수준 액세스를 사용하여 특정 HTTP(S) URL 패턴에 바인딩한 다음 들어오는 요청을 수신합니다. 들어오는 HTTP 요청이 특정 패턴을 충족하면 요청의 데이터를 디코딩합니다.
“기본적으로 그들이 하는 일은 기능을 남용하는 것입니다. 이것이 바로 Windows 웹 서버가 작동하는 방식입니다.”라고 Ventura는 말합니다. 그리고 “이전에 임플란트를 제작하기 위해 이런 종류의 남용이 행해지는 것을 본 적이 없습니다.”라고 덧붙였습니다.
게다가 문제의 URL 패턴은 대중적이고 전통적인 소프트웨어 제품과 일치하는 경우가 많습니다. 예를 들어, Ventura는 "분석가가 URL을 보는 경우에도 URL이 URL인 것처럼 보일 것입니다. 일반 Outlook 웹 메일. 그들이 찾고 있는 것이 무엇인지 정확히 알지 못한다면 주의를 기울여야 할 것입니다.”
HTTP 요청에서 디코딩된 데이터는 당연히 악성 셸코드가 되어 감염된 장치에서 실행됩니다.
ShroudedSnooper를 중지하는 데 어려움이 있음
지난 XNUMX월 ShroudedSnoop 공격자들은 HTTPSnoop에 대한 업그레이드인 "PipeSnoop"을 개발했습니다. 형제와 마찬가지로 임의의 쉘코드가 대상 엔드포인트에서 실행되도록 하는 것을 목표로 하지만 기존 파이프(IPC(Inter-Process Communication)에 사용되는 공유 메모리 섹션)에서 읽고 쓰는 방식으로 실행됩니다.
엿보는 눈을 더 피하려면 두 Snoop 모두 다음과 같은 실행 파일로 패키지되어 제공됩니다. Palo Alto Networks의 Cortex XDR 애플리케이션.
이미 은폐 기능이 탑재된 HTTPSnoop이 추가로 업그레이드되고 있다는 사실은 통신업체가 이러한 백도어를 식별하고 제거하는 것이 얼마나 어려운지를 보여주는 역할만 합니다.
“물론 피해자가 검색할 수도 있죠. 웹 서버 내에 어떤 URL이 등록되어 있는지 확인하고 어떤 콜백이 호출되고 있는지, 어떤 DLL이 해당 콜백과 연결되어 있는지 확인할 수 있습니다. 하지만 이는 포렌식 작업이므로 실제로 라이브 프로덕션 시스템에서 수행하기가 쉽지 않습니다.”라고 Ventura는 설명합니다.
“그래서 저는 예방이 이 문제에 있어 정말 중요한 요소라고 말하고 싶습니다.”라고 그는 결론지었습니다. 백도어 자체를 물리치려고 하기보다는 “이를 수행하는 데 필요한 특정 수준의 권한이 있기 때문에 기업은 악성 코드가 이식되기 전에 이전 단계를 탐지하기 위해 보유하고 있는 도구를 사용할 수 있습니다. 특권.”
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/dr-global/shroudedsnooper-backdoors-ultra-stealth-mideast-telecom-attacks
- :이다
- :아니
- a
- 능력
- 남용
- ACCESS
- 달성
- 활동
- 실제로
- 더하다
- 첨가
- 추가
- 다시
- 목표
- 이미
- an
- 분석자
- 및
- 어떤
- 접근
- 있군요
- AS
- 관련
- At
- 공격
- 주의
- 뒷문
- 백도어
- 나쁜
- 원래
- BE
- 때문에
- 전에
- 존재
- 바인딩
- 두
- 빌드
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 라는
- CAN
- 어떤
- 검사
- 시스코
- 왔다
- 의사 소통
- 기업
- 구성 요소들
- 손상된
- 전통적인
- 피질
- 수
- 코스
- 어두운
- 어두운 독서
- 데이터
- 보여
- 개발
- 장치
- 어려운
- 어려움
- 직접
- 드러내다
- do
- 하기
- 한
- 드롭
- 쉽게
- 중
- 고용하다
- 가능
- 종점
- 에테르 (ETH)
- 조차
- 정확하게
- 예
- 실행
- 처형 된
- 설명
- 공적
- 광대 한
- 매우
- 아이메이크업
- 인자
- 특색
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 럭셔리
- 법정의
- 에
- 추가
- 주기
- 좋은
- 여러 떼
- 하드
- 있다
- he
- 숨는 장소
- 높은
- 방법
- HTTP
- HTTPS
- i
- 확인
- 확인
- if
- in
- 포함
- 들어오는
- 엄청나게
- 처음에는
- 인터페이스
- IT
- 그
- 그 자체
- JPG
- 다만
- 키
- 핵심 요소
- 종류
- 알아
- 리드
- 레벨
- 도서관
- 처럼
- 아마도
- 살고있다
- 로드
- 찾고
- 악성 코드
- XNUMX월..
- 메커니즘
- 만족
- 메모리
- 방법
- 배우기
- 이름
- 필요
- 네트워크
- 유명한
- 소설
- of
- 자주
- on
- 일단
- 만
- or
- Outlook
- 포장하는
- 무늬
- 패턴
- 지불
- 수행
- 파이프
- 장소
- 평원
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 인기 문서
- 잠재적으로
- 예쁜
- 예방
- 너무 이른
- 이전에
- 특권
- 권한
- 생산
- 제품
- 문제
- 차라리
- RE
- 읽기
- 정말
- 최근에
- 등록된
- 신고
- 의뢰
- 요청
- 필요
- 연구원
- 연구원
- 길
- 달리기
- s
- 라고
- 라고
- 검색
- 섹션
- 보안
- 참조
- 보다
- 본
- 섬기는 사람
- 봉사하다
- 세트
- 공유
- 껍질
- 영상을
- 시각
- So
- 소프트웨어
- 구체적인
- 스텔스
- 남의 눈을 피하는
- 단계
- 멎는
- 체계
- 시스템은
- 소요
- 복용
- 탈로스
- 목표
- 대상
- 통신
- 통신
- 통신
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들 자신
- 그때
- 그곳에.
- Bowman의
- 그들
- 이
- 그
- 그래도?
- 위협
- 에
- 검색을
- 전통적인
- 시도
- 노력
- 두
- 업그레이드
- 업그레이드
- URL
- 사용
- 익숙한
- 사용
- 사용
- 피해자
- 취약
- 웹
- 웹 서버
- 뭐
- 어느
- 의지
- 창
- 과
- 이내
- 작업
- 겠지
- 쓰기
- XDR
- 제퍼 넷
