以下是我们讨论过的每篇文章中的一些亮点:
DNS中毒
- 流行C标准库uClibc和uClibc-ng的所有版本都存在一个缺陷,可以允许对目标设备进行DNS投毒攻击
- DNS中毒,对于那些可能不知道的人来说,当你的对手欺骗你的DNS客户端接受不适当的响应并将人们发送到恶意服务器而不是你正在寻找的正确服务器时,就会发生
- Nozomi网络实验室(CVE-2022-30295跟踪)发现了这一漏洞,当时他们发现了一种可预测的事务id模式(包括DNS请求)
- 这是一个问题,因为如果某件事是可预测的,那么它就可能被欺骗
- 目前我们不确定受影响设备的确切数量,但估计有数百万台。当然有一些设备不再使用这些标准库,但仍有许多设备在使用这些标准库,而这个漏洞可能会嵌入到这些设备中
- DNS对于攻击者来说是如此成熟,原因如下:
- 一是因为它大部分是开放和加密的
- 另一部分是因为它非常强大,可以绕过其他安全控制
- DNS被用于许多不同的场景,所以如果你能够控制DNS,你就可以控制人们在外部世界中与之交互的内容
- 在缓解方面,到目前为止还没有任何措施,而且出于安全考虑,不会透露测试了哪些物联网设备
保持在DLL上
- 黑客通常利用企业网络的漏洞来获取访问权限,但一名研究人员在当今最常见的勒索软件和恶意软件中发现了漏洞,扭转了局面
- 一位名叫hyp3rlinx的安全研究人员发现,诸如Conti、REvil、LockBit和AvosLocker等操作的常见代码样本,以及最近兴起的Black Basta,都很容易受到DLL劫持
- 对于那些可能不知道的人,DLL代表“动态链接库”
- dll是现代Microsoft代码(以及其他代码)的一些基本构建块
- 它在效率和灵活性方面都有好处
- DLL提供了共享库的标准优点(DLL是共享库的一种特殊类型),例如模块化
- 模块化允许对多个应用程序共享的单个自包含DLL中的代码和数据进行更改,而无需对应用程序本身进行任何更改
- DLL劫持利用了应用程序搜索并在内存中加载所需DLL文件的方式
- 如果软件没有足够的检查来确保这种情况不会发生,它可以从其目录之外的路径加载DLL,提升特权或执行不需要的代码
- 你可以想象在Windows系统中会造成多大的破坏;它也会对这些易受攻击的勒索软件造成严重破坏
- 该研究人员通过将所需的DLL文件替换为受感染的版本并将其放置在应用程序的搜索参数中实现了DLL劫持,因此在应用程序加载时将调用受感染的文件,激活其操作
- 我们从这个研究人员那里看到的是一个演示视频(在YouTube上),他们用自己的版本替换了一个名为netapp32.dll的文件
- 然后他们经营康帝。你看到的是Conti运行了,但没有正确执行,一些应该加密的TXT文件没有被加密
- 然后为了完整起见,研究人员删除了被操纵的netapp32 DLL,并重新运行Conti。这一次,加密按照设计的方式进行
- 这种解决方案并不是阻止这些组织的灵丹妙药。这些勒索软件被修补只是时间问题。在短期内,这可以作为一种预防措施对团队有所帮助
- 这是在恶意代码中发现漏洞并利用它们的过程,似乎是hyp3rlinx的股票交易
- 他们有一个叫做malvuln.com的网站,在那里他们记录了这些发现,那里有很多这样的网站
- 现在,当然这里也有一个缺点,这就像恶意代码作者如何通过提交给VirusTotal来“QA”他们的最新版本以防止检测一样,这是另一个善意的服务,无疑会被威胁行为者利用,通过修补hyp3rlinx已经记录的漏洞
- 这可能只是猜测,但这位研究人员的工作可能有助于为发现漏洞铺平道路,这些漏洞可能更难被恶意代码作者修补
两个真理和一个谎言
介绍最新一期《绝命毒师》我们要玩一个你们可能都很熟悉的游戏,叫做两个真相和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,一个谎言。
你将会找到答案!
当前的记分板
本周帽衫/糖果量表
DNS中毒
(泰勒):4/10的连帽衫
(Tim):4.5/10的连帽衫
保持在DLL上
(泰勒):2/10好吃
(Tim):3/10好吃
这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的播客综述中。太平洋时间周三上午9点,我们将发布下一期播客和博客。
*特别感谢John Roderick为我们提供了令人难以置信的播客音乐!
