|
BlackByte 在今年稍早被美國特勤局和 FBI 列為對關鍵基礎設施的威脅,短暫消失後於 5 月捲土重來,伴隨著新的資料外洩網站和新的勒索手法。現在,看來該組織也採用了新的攻擊方法。具體來說,BlackByte 一直是濫用 Windows 系統的圖形公用程式驅動程式 RTCorec6.sys 中的一個漏洞。這個特定的漏洞讓他們可以直接與目標系統的核心通訊,命令系統停用 EDR 供應商及 ETW (Windows 事件追蹤) Microsoft-Windows-Threat-Intelligence-Provider 使用的回呼常式。EDR 廠商經常使用這個功能來監控常見被惡意濫用的 API 呼叫;一旦被停用,則依賴此功能的 EDR 廠商將無計可施。 Sophos 威脅研究資深經理 Christopher Budd 表示:「如果您將電腦視為堡壘,那麼對於許多 EDR 廠商而言,ETW 就是大門的守衛。如果守衛倒下,那麼系統的其餘部分就會變得非常脆弱。而且,由於 ETW 廣為許多不同的廠商使用,所以一旦使用 EDR 繞過,BlackByte 可以攻擊的目標就會非常多。」 BlackByte 並不是唯一一個利用「自帶驅動程式」繞過安全產品的勒索軟體。AvosLocker 同樣在 5 月 時濫用不同驅動程式中的漏洞來停用防毒解決方案。 Budd 說:「有趣的是,就我們在這個領域所看到的,EDR 繞過似乎正成為勒索軟體威脅團體間一項很熱門的技術。這並不奇怪,因為威脅行為者通常會利用「進攻性安全」(保護電腦、網路和個人免受攻擊的主動和對抗性方法) 業界開發的工具和技術,以求更快、更輕鬆地發起攻擊。事實上,BlackByte 似乎至少從開源工具 EDRSandblast 中取用了部分 EDR 繞過的方法。
「由於犯罪分子會利用進攻性安全業界的成果,因此防禦人員必須在這些技術廣為網路犯罪分子使用之前時時監控新的規避和入侵技術,並採取防護措施。」 若要了解 BlackByte 最新 TTP 以及如何確保系統安全的更多資訊,請從 Sophos.com 下載完整報告。 - 新聞稿有效日期,至2022/11/05為止
聯絡人 :MalicHuang
聯絡電話:+88627311307
電子郵件:malic@wordtech.com.tw
 上一篇:KIRIN冰結西西里檸檬全新升級!攜兩款本搾強勢回歸!
 下一篇:奧丁丁揪你推秋季露營專區 精選七大特色營地 賞落羽松、雲海美景
|
■ 我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02 ■ 我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25 ■ 我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18 ■ 我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11 ■ 我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04 ■ 我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28 ■ 我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21 ■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14 ■ 我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07
|
