本周即将打破坏事。 今天我们讨论:激动你的最低美元,,,,勒索软件的某个地方以及我们有趣的新游戏,两个真相和谎言。
以下是我们讨论的每篇文章中的一些亮点:
激动你的最低美元
- 情绪长期以来一直困扰着防守者圈子里的每个人。这是如此有效,您会看到搜索时到处都会出现情感样本。似乎无处不在。
- 这是有人注意到新有效载荷的第一次实例,肯定的是,司法部的新闻稿是在Milkream在Twitter上弹出的分析后。有趣的是,Twitter始终是接收安全新闻的最快方法。
- 司法部的新闻稿强调了他们与之合作的所有执法伙伴,并使用这些合作伙伴在情感机器人网络中将卸载器加载在第2层和3级服务器乐动首页上。
- 该有效载荷于2021年4月25日卸载Emotet软件。人们最初认为这实际上是2021年3月25日,但这是由于分析师忘记了程序员总是从零计数。无论如何,这是一个相当简单的DLL,它只是清理了相关的情绪文件并消除其持久机制。
- 通过在启动时开发的注册表键和系统服务的持续存在。对于大多数恶意软件来说,非常典型的东西。它很有效并且有效,因此大多数Windows恶意软件都使用它。
- 他们打算如何将执法文件转移到临时目录中存在一些代码问题。由于他们刚刚创建了文件路径的语法错误,因此清理例程运行。小故障。
- 如果未立即调用卸载,那么将会被调用另一个dll,看起来和操作就像经常混淆的情绪DLL,这与卸载DLL不同。
- 此有效负载中内置的最终选项将执法控制的C2服务器拨打。据我了解,这意味着成为“如果情感操作员弄清楚如何停止卸载” DLL。这样,他们将获得正在发生的事情的遥测。
- Emotet已经看到其机器人网络在很大程度上被拆除了,但我怀疑这将是结局。我们一直在播放播客中谈论这一点,而政府的行动一直在播客上,除非操作员在监狱里停下来,否则我并没有真正看到一个世界。实际上,这可能是解决他们原始代码中不喜欢的事情的好机会,改进了可以使他们将来卸载的机制。如果有的话,我们会看到这种更有效的情感。也就是说,我喜欢这些流氓元素 - 删除机器人,删除脆弱的交换服务器上的网络壳,甚至是对脆弱的物联网设备进行流氓修补以阻止Mirai变体的人。人们会被冒犯,因为您在网络上触摸了他们的设备,但是当您不关注并亲自照顾自己时,有人需要进行清理工作。只是我的看法,但我也不反对一些红色团队的工作来完成这项工作。
勒索软件的某个地方
- 勒索软件工作队是一个非常有趣的发展。该小组由您期望的一些大型参与者组成,例如Microsoft,Palo Alto Networks和Rapid7,以及网络威胁联盟,全球网络联盟以及安全与技术研究所等非政府组织。
- 根据帕洛阿尔托(Palo Alto)的数据,该工作组强调了一些勒索软件统计数据:示例,平均付款超过312k,比2019年增长了171%。Chainalysis说,总付款超过3.5亿美元,比上一年增长了300%。平均停机时间为3周,每个Coveware,2020年美国组织的数量为3 x 800或2400。
- 该框架围绕四个目标组织:通过一项国家和国际协调,全面的战略来阻止勒索软件攻击;破坏勒索软件业务模式并减少犯罪利润;帮助组织准备勒索软件攻击;并更有效地响应勒索软件攻击。所有这些听起来都像母亲和苹果派,但是当您查看实际的48个建议时,它们会非常具体地了解他们看到政府和私营部门能够为这些事情提供帮助的一些方式。您想让我对所有48的戏剧性阅读吗?
- 不?好的,基本上,他们正在寻求政府和私营部门组织的联盟,关键是他们需要全球每个人都可以在同一页面上。国际合作是他们真正锤击回家的观点之一。There are other collective efforts they propose, like pooling a “war chest” for insurance companies to carry out subrogation activities, which is where they attempt to recover losses on behalf of the insured—they can’t often really afford this on an individual basis, but with the pooling of funds that is the basis of insurance in general, this becomes more possible.
- 询问国会很有趣。其中之一是,他们希望屏蔽公司在采取防御措施时免受法律责任。例如,今天,一家阻止恶意流量的电信公司实际上可能面临一些法律责任。乐动体育官网下载该工作队希望国会为这类行动提供一些法律赔偿。他们很清楚,他们没有提倡授权攻击。
- 该报告提出了我们作为一个行业可以采取的一些好步骤,以帮助拆除勒索软件。通常,可以将它们概括为鼓励行业内部以及各个行业与政府线路的信息共享。如果您回到阻止攻击,破坏业务模式,帮助组织准备攻击并帮助他们对攻击做出反应的四个高级目标,那么每个其中的安全行业都有一些东西。恕我直言,破坏商业模式将成为我们行业参与的更艰难的人之一。例如,加密货币行业必须有很多法规和合作才能通过付款指标变得更加出色。
两个真理和一个谎言
介绍我们有关破坏坏处的最新部分。我们将玩一个游戏,您都可能熟悉称为两个真相和谎言,并带有有趣的转折。每周,我们都准备好三个文章标题,其中两个是真实的,一个是一个谎言。
您必须收听才能找出答案!
当前记分牌
本周的连帽衫/糖果秤
激动你的最低美元[乍得]:5/10抗hoodies
[蒂姆]:9/10反霍尼斯
勒索软件的某个地方[乍得]:7/10反霍尼斯
[蒂姆]:6/10反霍尼斯
这就是我们本周所拥有的一切,您可以在Twitter上找到我们@Domaintools,我们播客中提到的所有文章将始终包含在我们的播客回顾中。当我们发布下一个播客和博客时,太平洋时间上午9点在星期三赶上我们。
*特别感谢约翰·罗德里克(John Roderick)令人难以置信的播客音乐!