本周《绝命毒师》即将播出。 今天我们将讨论:赫兹不吗?,诱饵Oy Yoy Yoy和我们有趣的新游戏,两个真相和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
赫兹不吗?
- Hertzbleed是一种新的侧信道攻击:频率侧信道
- 这些攻击使攻击者能够从以前被认为是安全的远程服务器提取密码密钥
- 本文演示了攻击者如何利用选择密文攻击对超奇异同源密钥封装(SIKE)进行远程定时密钥提取
- 它没有被定义为a错误,但作为功能现代的处理器
- 什么是侧通道攻击?
- 这些是执行的攻击没有入侵系统
- 当您执行一项操作时,您创建了一个特定的物理签名
- 这个功能增加了你的中央处理器(CPU)正在使用的电力
- 这些签名对于侧通道攻击者非常重要,因为他们试图了解处理了什么信息
- 这不是此类袭击的第一次
- 20多年来,侧通道攻击一直被使用,尽管Hertzbleed有以前从未见过的额外能力
- 这包括远程部署(这比以前的侧通道攻击更容易部署)
- Hertzbleed还运行在“恒定时间”机制上,这是一种旨在消除过程完成所需时间长度的代码
- 这对谁有影响?
- 密码工程师比普通用户更了解密码
- 所有英特尔处理器和许多AMD芯片都容易受到赫茨出血热的影响
- 即使您不使用受影响的处理器,成千上万的服务器也会使用
- 它也是一种速度较慢的攻击,据说需要“数小时到数天”才能窃取少量数据
- 目前,还没有已知的攻击正在使用Hertzbleed,但研究人员表示,这种攻击的实际应用将会有重大的安全影响
诱饵Oy Yoy Yoy
- 两个从事网络间谍活动并窃取日本和西方企业知识产权的中国黑客组织正在部署勒索软件作为诱饵,以掩盖他们的恶意活动
- 勒索软件之所以被使用,很可能是因为它令人兴奋、有新闻价值,而当有迹象或证据表明它受到了感染时,捍卫者(理应如此)往往会“惊慌失措”
- 目前还不清楚这种策略传播或演变的速度有多快,但我们看到了类似的滑稽动作2018年智利银行雨刷袭击
- Secureworks在研究两个组:“青铜河畔”(APT41)和“青铜星光”(APT10)时发现了这次最新的攻击。
- 这些组织都在使用HUI Loader部署远程访问木马(rat)、PlugX、Cobalt Strike和QuasarRAT
- HUI Loader是一个自定义的DLL加载器,其名称来源于加载器中的字符串
- 该恶意软件由合法程序加载,容易受到DLL搜索顺序劫持
- 这个HUI Loader解密并加载包含加密有效负载的第三个文件,该有效负载也部署到受损害的主机上
- 2022年3月,“青铜星光”利用Cobalt Strike部署了LockFile、AtomSilo、Rook、Night Sky和Pandora等勒索病毒菌株
- 在这些攻击中,使用了一个新版本的HUI Loader(它能够钩住Windows API调用,并禁用Windows事件跟踪(ETW)和反alware扫描接口(AMSI)功能
- 基础设施再次成为致命弱点!在使用AtomSilo、Night Sky和Pandora进行的三次不同攻击中,Cobalt Strike信标的配置显示了一个共享的C2地址
- 此外,今年在病毒总数上上传HUI Loader样本时使用了相同的源
- 部分线索是没有通过嗅探测试的活动:LockFile、AtomSilo、Rook、Night Sky和Pandora的活动和受害者特征与以经济为动机的勒索软件操作相比是不寻常的,这些勒索软件在短时间内针对少量受害者,然后完全放弃项目(所以从行为上讲,这是一条线索)。
- 这些攻击的目标是西方和日本公司作为主要目标
- 一些先进的IR桌面和威胁模型演习可以缓解这些攻击:防御者必须意识到给定的攻击可能不是当时发生的唯一事件
- 团队可能负担过重,无法提出这样的问题:“这里发生的事情不止一件吗?”“但不幸的是,我们必须对这种双重打击保持警惕
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
赫兹不吗?(泰勒):4.75/10的连帽衫
(丹尼尔):8/10的连帽衫
诱饵Oy Yoy Yoy(泰勒):6.5/10的连帽衫
(丹尼尔):8/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!