以下是我们讨论过的每篇文章中的一些亮点:
赫兹不是吗?
- Hertzbleed是一种新的侧信道攻击:频率侧信道
- 这些攻击使攻击者能够从以前被认为是安全的远程服务器中提取加密密钥
- 在本研究论文中,演示了攻击者如何使用选择密文攻击超奇异同源密钥封装(SIKE),通过远程定时执行密钥提取
- 它没有定义为a错误,但作为功能现代处理器
- 什么是侧通道攻击?
- 这些是被执行的攻击没有实际上是侵入系统
- 当您运行操作时,您将创建一个特定的物理签名
- 这个功能可以提高您的中央处理器(CPU)使用的功率
- 这些签名对于侧通道攻击者来说至关重要,因为他们试图了解处理了哪些信息
- 这不是第一次类似的袭击
- 20多年来,侧通道攻击一直被使用,尽管Hertzbleed具有以前从未见过的额外功能
- 这包括远程部署(这比以前的侧通道攻击更容易部署)
- Hertzbleed还运行“常数时间”机制,这是一种旨在消除过程完成所需时间长度的代码
- 20多年来,侧通道攻击一直被使用,尽管Hertzbleed具有以前从未见过的额外功能
- 这对谁有影响?
- 密码工程师比普通用户更喜欢
- 所有英特尔处理器和许多AMD芯片都容易受到赫兹泄漏的影响
- 即使您不使用受影响的处理器,成千上万的服务器也会受到影响
- 这也是一种较慢的攻击,据说需要“几小时到几天”才能窃取少量数据
- 目前,还没有已知的使用Hertzbleed的攻击,尽管研究人员表示,这种攻击的实际使用将具有重大的安全隐患
诱饵哦哦哦哦
- 两个从事网络间谍活动并窃取日本和西方公司知识产权的中国黑客组织正在部署勒索软件作为诱饵,以掩盖他们的恶意活动
- 勒索软件的使用可能是因为它令人兴奋和有新闻价值,而防御者(这是正确的)在有迹象或证据时往往会“惊慌失措”
- 目前还不清楚这种策略传播或演变的速度有多快,但我们在印度看到了类似的滑稽动作2018年智利银行雨刷攻击
- Secureworks在研究两个群体时发现了这次最新的攻击:“Bronze Riverside”(APT41)和“Bronze Starlight”(APT10)
- 这些组织都使用HUI Loader来部署远程访问木马(rat)、PlugX、Cobalt Strike和QuasarRAT
- HUI加载器是一个自定义DLL加载器,其名称来源于加载器中的字符串
- 恶意软件由易受DLL搜索命令劫持的合法程序加载
- 此HUI加载器解密并加载第三个文件,其中包含同样部署到受感染主机的加密有效负载
- 2022年3月,“青铜星光”利用Cobalt Strike部署了LockFile、AtomSilo、Rook、Night Sky和Pandora等勒索软件菌株
- 在这些攻击中,使用了一个新版本的HUI Loader(它能够钩住Windows API调用,并禁用Windows事件跟踪(ETW)和反恶意软件扫描接口(AMSI)函数
- 基础设施再次成为致命弱点!在使用AtomSilo、Night Sky和Pandora的三种不同攻击中,Cobalt Strike信标的配置显示了一个共享的C2地址
- 此外,今年在病毒总数上上传HUI加载器样本时使用了相同的来源
- 部分线索是没有通过嗅探测试的活动:LockFile、AtomSilo、Rook、Night Sky和Pandora的活动和受害者特征与以经济为动机的勒索软件操作相比是不寻常的,这些勒索软件在短时间内针对少量受害者,然后完全放弃了项目(所以从行为上讲,这是一条线索)
- 这些组织都使用HUI Loader来部署远程访问木马(rat)、PlugX、Cobalt Strike和QuasarRAT
- 这些攻击的主要目标是西方和日本公司
- 缓解这些攻击是一些先进的IR桌面和威胁模型练习可以得到回报的地方:防御者必须意识到给定的攻击可能不是当时唯一发生的事情
- 团队可能会过载,无法提出这样的问题:“这里是否发生了不止一件事情?”“但不幸的是,我们必须对这种双重打击保持警惕
两个真理和一个谎言
介绍最新一期《绝命毒师》我们要玩一个你们可能都很熟悉的游戏,叫做两个真相和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,一个谎言。
你将会找到答案!
当前的记分板
本周帽衫/糖果量表
赫兹不是吗?
(泰勒):4.75/10的连帽衫
(丹尼尔):8/10的连帽衫
诱饵哦哦哦哦
(泰勒):6.5/10的连帽衫
(丹尼尔):8/10的连帽衫
这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的播客综述中。太平洋时间周三上午9点,我们将发布下一期播客和博客。
*特别感谢John Roderick为我们提供了令人难以置信的播客音乐!
