两位研究人员在Black Hat Security Briefings上发表的一篇演讲中说,无法直接访问Internet的锁定网络仍可能感染恶意软件,并通过使用环境自身的安全软件作为Internet通道的粗俗技术窃取了数据。 7月27日。
据安全服务公司SafeBreach的两名研究人员称,该技术利用某些防病毒软件对云分析系统(或沙箱)的依赖来确定可疑程序是否被认为是恶意的。
该技术不是要感染网络中的系统(它假定系统已经受到威胁),而是要从未连接到Internet的系统中复制数据。所谓的“气隙式”系统在军事和敏感的政府机构中很常见,但仍经常连接到内部系统,例如维护防病毒软件和操作系统补丁的服务器。
为了与Internet上的攻击者的服务器进行通信,受感染的系统可能会生成可丢弃的病毒,这些病毒会被发送到防病毒系统的云中,并从那里在沙箱中执行,使用多种隐蔽渠道之一来窃取数据。网络安全服务公司SafeBreach的首席技术官兼联合创始人Itzik Kotler。
他告诉eWEEK: “我们能够滥用防病毒软件的工作方式。” “当服务将新的恶意软件样本发送到云时,我们可以通过将信息嵌入恶意软件样本中并对代码进行编码以从沙盒服务器发送信息来进行搭载。”
Kotler和安全研究副总裁Amit Klein的SafeBreach同事发现,至少有四家防病毒公司拥有可被滥用以允许数据传输的云沙箱。
该技术将恶意软件有效负载分为两部分。主要的“火箭”通过某种机制和“卫星”感染网络内部的系统,该“卫星”加载了敏感数据,然后以防病毒客户端检测到该程序并将其发送到沙箱进行分析的目的释放。
SafeBreach的Klein说:“已经在端点上运行的恶意软件实际上还包含另一种次要恶意软件。” “运行在端点设备上的主要恶意软件会收集敏感信息,然后将其嵌入到卫星恶意软件的主体中。”
随着防御变得越来越复杂,攻击者需要通过找到更多新颖的绕过防御的方法来进行调整。尽管没有证据表明攻击者已使用卫星技术,但攻击者已使用操作系统和软件更新服务来感染系统。在该NotPetya恶意软件通过为乌克兰财务软件更新服务传播是这种攻击的最新例子。
SafeBreach的Klein表示:“我认为我们永远不会对是否使用过这种方法有明确的答案。” “多年来分析防毒厂商使用沙箱并不是一个容易的问题。”
