本周《绝命毒师》即将播出。今天我们将讨论:我有蒸汽加热,我手中的油灰,和两个真相和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
我有蒸汽加热
- 黑客正在发起新的攻击,利用浏览器中浏览器的网络钓鱼技术窃取Steam的证书,这种技术在威胁行为者中越来越受欢迎。
- 那么什么是“浏览器中的浏览器”技术呢?
- 现代浏览器是一个奇迹,它可以渲染的东西和虚假的东西看起来有多么令人信服
- 钓鱼者在这里所做的是在活动窗口中创建一个假的浏览器窗口,这使它看起来像受害者打算执行的登录服务的登录弹出页面
- 通过一个名为“mr.Dox”的安全研究员研究的网络钓鱼工具包,一个恶意的行为者可以为任何服务创建虚假的登录表单,如steam、Microsoft、谷歌、AltaVista、MySpace、Dogpile等
- 我们在这里所着眼于的是针对高价值的Steam用户,他们的帐号可能比这个播客所意识到的更有价值——在某些情况下是6位数
- 但有趣的是,这里涉及到两个url——一个合法的,一个不合法的
- 第一个是不合法的
- 事件的顺序是,钓鱼者在Steam上向潜在受害者发送DM;DM会引诱他们进入恶意域名的钓鱼网站
- 一旦他们到达那里,他们会得到浏览器中浏览器的登录页面,而这个页面会转到合法的网站——在这种情况下,是steamcommunity.com
- 但由于这个假窗口是由恶意行为者在他们的基础设施上托管的,受害者的证书就会被获取,所以他们登录合法的steam并不重要——解决方案已经就绪
- 这些攻击者将目光投向了职业游戏玩家身上,但这能否转移到赞助他们的公司身上呢?
- 这当然是可能的;这是一种有效的技术,因此几乎任何提供有价值凭证的帐户或服务都可能成为其中一种攻击的目标
- 如果你想知道在一个给定的领域(不是互联网领域)中下一步在哪里寻找威胁,跟踪金钱(或价值,如知识产权等)
- group - ib对这个恶意群体的研究
- 他们发现,这起案件中使用的钓鱼工具在暗网上并没有广泛分布
- 相反,这一活动背后的参与者在论坛上招募(一些在暗网上,一些通过私人Telegram of Discord群组)
- 他们似乎对所雇佣的“工人”进行了一定程度的目标和审查;这些工作人员得到钓鱼工具,然后从骗局中获得不义之财的一部分
- 黑客与受害者分享的链接指向一个伪装成赞助和主办电子竞技比赛的公司的网站乐动体育官网下载虹膜调查罩吗?
- 该域名模仿的是一个名为挑战者模式的合法电子竞技网站
- 在这种情况下,假冒URL进入了挑战者模式。,这是受害者发现骗局的第一个机会
- 我们着眼于挑战者模式。的Iris调查,并发现了一些有趣的事情
- 第一个问题是,该网站的IP地址包含300多个其他域名,其中很多看起来很粗略
- 很多,包括挑战者模式。的域名,但你可以看出他们在寻找各种平台的登录凭证
- 还有一些与挑战模式有关,还有一些与游戏有关,但使用了其他诱饵,如inviteroblox[。]团队或direct-sony。com
- 但真正有趣的是,当我们要求Iris提供所有包含字符串“挑战者模式”的域时。
- 在那里,我们得到了很多风险分数非常高的网站——很多已经被列入了黑名单,而其他的则被预测是糟糕的
- 从这些信息中,我们可以转向IP地址和注册电子邮件信息,以找到更多与这一活动或其他试图利用游戏网站作为诱饵的基础设施
- 为了给你一个概念,有403个领域中有挑战者模式,这些领域的平均风险评分是81 -这真的很高!
- 其中大约75%是在2022年创建的,所以这是一个相对较近的运动。2022年人群的平均风险为90
- 我们认为,根据这些域名记录中的注册者姓名和一些招募信息(其中一条声明,原始作者的母语不是俄语……但谁知道呢,这可能只是试图将注意力从俄罗斯或其卫星国家转移开),这个活动很可能起源于一个俄语地区。
- 我们并没有深入到这个兔子洞里去寻找活动的全部范围,但它肯定是几百个域名
- 该域名模仿的是一个名为挑战者模式的合法电子竞技网站
- 到目前为止,考虑到这场运动的目标是玩家社区中的一些知名人士,我们对受害者的情况了解多少?
- Steam帐号很有价值。但我们真的没有受害者的统计,无论是高价值的还是普通的玩家
- 我们如何发现浏览器中的浏览器攻击?
- 对我们来说,这里最大的区别是超级粗略的域名-挑战者模式[.]供应
- 但是还有另一种主要方法可以判断浏览器中的浏览器登录页面是否合法:您可以尝试调整窗口的大小
- 假窗口可以关闭或最小化/最大化,但不能调整大小,也不能拖出主浏览器窗口(即假域)
- 因此,如果您收到了来自不认识的人的登录邀请,并且在页面中间出现了登录提示,请尝试这些测试——但也要非常密切地注意在主窗口中间显示登录信息的那个窗口
- 退一步说,我们告诉人们要做的发现网络钓鱼诱惑的两件主要事情在这里得到了体现:观察那些看起来好得令人难以置信的出价,注意与诱惑有关的域名
- 至于这些优惠是否真的好得令人难以置信,实际上更多的是由竞争性玩家而不是我们来回答
- 但我们已经看到,新的通用顶级域名,如。supply,。club,。top等,往往会吸引很多粗略的内容
- 所以,虽然这篇文章是关于游戏的,但对我们所有人来说,在收到某种消息后出现的登录提示是一个序列事件,这应该会提高你的偏执程度,邀请你对域名和任何其他出现的构件进行更深入的审查
- 对我们来说,这里最大的区别是超级粗略的域名-挑战者模式[.]供应
我手中的油灰
- Mandiant Managed Defense识别了一种新的鱼叉式网络钓鱼方法,该方法被追踪的威胁集群称为UNC4034
- 这不是我们第一次谈论坏人瞄准工作机会了——在第129集中,我们讨论过拉撒路集团的目标是Coinbase-但那次攻击更多的是针对受感染的pdf文件
- 这个有点不同,我们敢说更聪明吗?
- 当然,它针对的是那些希望和梦想获得更好工作的人
- 我们确信过去有海盗欺骗人们上船找更好的工作,结果发现你在厨房里剥土豆皮,但我们跑题了
- “大辞职”还没有完全过去,还有人希望通过申请其他工作来提高自己的地位,所以这是一种针对人们的方式,给他们虚假的希望
- 如果你在领英(LinkedIn)上搜索,看到那些“对工作开放”(Open for Work)的人,并查看他们的偏好,你就可以为那些真正想在亚马逊工作的人调整目标,比如给他们一个假工作邀请
- 这种被认为是鱼叉式网络钓鱼,因为它更有针对性(它不会一次针对10万人,希望有人上钩)
- 这里的坏人可能针对个人,因为他们关心他们的公司目前我们最近在一些非常著名的公司看到了这样的机会
- 所以这个特殊的例子来自WhatsApp(在iOS和Android上很流行),它也有一个Windows组件,这对这个场景非常重要
- 毫无防备的受害者做出回应,并被指示下载一个文件,该文件将通过WhatsApp发送
- 然后他们进入自己的电脑(希望是Windows电脑,因为这个恶意软件针对的是Windows)
- 在美国的企业界,Windows系统仍然占主导地位,因此感染Windows电脑的几率相当高
- 他们下载ISO文件,这是一种用于CD、CD rom、dvd等的格式。从Windows 10开始,打开这些文件非常容易
- ISO文件被发送、下载和打开,里面是一个称为puTTY的可执行文件和一个自述文件
- puTTY是SSH客户端,在Windows 10之前,它没有打开安全shell连接的本地选项——所以它是一个很好的选项
- 然后,这些指示要求受害者使用自述文件中的用户名和密码登录到服务器,然后在登录到所谓的应用程序系统的服务器后,您可以填写一些附加信息
- 这感觉就像TikTok或YouTube上的开箱潮——所以我们已经拿到了包裹,让我们打开它,看看里面是什么!
- 最后的有效载荷是AIRDRY。V2后门恶意软件,但它与第一个版本有什么不同?
- 它已经模块化了——最初的版本支持30条命令,这可能会变得繁琐和棘手
- 在V.2中,他们产生了大约9个命令的基本命令集,但其中一个是获取并加载一个具有额外功能的模块,所以它更通用——它完全是模块化的!(这将是开箱视频的一部分)
- 最疯狂的是,您得到的puTTY可执行文件与原始版本并无不同
- 你看看它的文件大小,它要大得多,因为它包含了恶意软件的第一阶段
- 为了避免被发现,他们还设置了一个巧妙的检查,您必须启动到一个系统的连接,该系统由puTTY内部的恶意软件实时监视,只有当这种情况发生时,它才会解压恶意负载
- 一旦发生这种情况,它就会生成daveSHELL,然后它会拉入AIRDRY,所以它就像恶意软件的初始阶段
- 归因总是很困难的,但是曼迪昂特在他们的报告中做得很好
- 有一些不同的版本,其有效负载的执行方式略有不同(以避免反病毒检测)
- 那么,如果人们使用公司发放的电脑在目前的职位上找工作呢?乐动体育官网下载应该考虑哪些缓解措施?
- 首先,把你的公司做得非常好,以至于乐动体育官网下载没有人会在工作电脑上找工作!
- 但说真的,不要用你的工作电脑去找新工作
- 然而,我们确实看到有人使用他们的个人电脑,然后坏人利用受害者可能仍然在做的事情在这些设备上工作
- 不要在WhatsApp上接受工作机会,除非你在上面联系过招聘人员(这还是有点奇怪)。
- 要知道,如果某件事好得不像真的,那它很可能就是假的
- 这种情况很可能是“不要从陌生人那里拿糖果”的网络版本。
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
我有蒸汽加热
(丹尼尔):4/10的连帽衫
(Tim):3.8/10的连帽衫
我手中的油灰
(丹尼尔):3/10的连帽衫
(Tim):3/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!
