7X24服务热线:400-808-5836

MG电子游戏|官网

网站首页 > 新闻动态 > 行业资讯

黑客使用Slack来隐藏恶意软件通信

2019-03-13 14:47:42 MG电子游戏|官网 阅读

一群黑客正在使用以前未记录的后门程序,旨在通过Slack与攻击者进行交互。虽然滥用合法服务用于恶意软件命令和控制目的并不是一个新的发展,但这是研究人员第一次看到Slack,一种流行的企业协作工具,以这种方式使用。


[跟上8个热门的网络安全趋势(4个变冷)。通过顶级安全认证为您的职业生涯提供支持:他们的目标是谁,他们需要什么,以及您需要什么。 |注册CSO简报。 ]

安全公司趋势科技在一个名为朝鲜美国国家协调委员会的组织的受损网站发起的针对性攻击中发现了后门,该组织发布了与朝鲜和韩国政治有关的文章。感染特定个人或组织感兴趣的网站的技术被称为“水坑”攻击。


目前尚不清楚受害者是通过电子邮件活动直接访问网站还是攻击者只是等待常规访问者,但该网站已被修改为托管Windows VBScript引擎中的远程执行代码漏洞。该漏洞被跟踪为CVE-2018-8174,可以通过Internet Explorer进行利用。但是,该漏洞在2018年5月被微软修补,因此拥有最新的操作系统可以防止攻击。


在漏洞利用成功运行的情况下,它触发了一个多阶段感染链,首先涉及通过PowerShell下载和执行恶意DLL文件。在决定是否下载并安装趋势科技称为SLUB的新后门程序(针对Slack和GitHub,攻击者用作存储库)之前,第一个有效负载扫描了某些防病毒程序的存在。


趋势科技的研究人员在他们的报告中说:“我们的调查让我们充满信心地相信这是可能的针对性攻击活动的一部分。” “到目前为止,我们还没有找到相关的攻击,也没有发现其他地方的自定义后门。我们一直在搜索类似的样本,到目前为止没有找到,这强烈表明攻击者要么开发恶意软件,要么得到了恶意软件。它来自一位尚未公开泄露它的私人开发商。“


后门程序用于在Twitter,Skype,KakaoTalk和公告板系统(BBS)上收集有关受害者及其活动的信息,但其功能还包括列出和终止进程,执行命令和恶意文件的能力,截取屏幕截图,列表和exfiltrate文件,读取和添加系统注册表项,并收集有关存储驱动器和卷的信息,包括它们是否加密。


恶意软件最有趣的方面仍然是利用流行的服务与攻击者进行通信。后门连接到GitHub存储库以下载命令,然后连接到攻击者设置的Slack私有工作空间,以发布这些命令的输出,以及从中收集输出的计算机的名称。最后,恶意软件将任何被盗文件上传到file.io云存储服务。


[准备通过PluralSight的综合在线课程成为认证信息安全系统专业人员。现在提供10天免费试用! ]

攻击者使用Slack和GitHub来避免检测

攻击者之所以仅使用合法服务进行命令和控制,可能是因为他们想要逃避网络级甚至端点级别的潜在可疑流量检测。在滥用的服务中,Slack和GitHub通常被公司和其他类型的组织使用,并且可能在防火墙和Web安全网关中列入白名单。此外,这些服务默认使用HTTPS,这意味着发送回它们的任何数据都是加密的。


趋势科技研究人员通过电子邮件表示,由于缺乏能够在网络级别解密流量的解决方案,组织对HTTPS通信的内容视而不见。 “这是协议正在完成它的工作。虽然这对于保护银行交易是有好处的,但在企业环境中它可能会带来问题。”


Slack已被通知并禁用攻击者因违反公司服务条款而设置的工作空间。然而,这可能不是黑客决定滥用Slack服务的最后一次攻击。该公司提供的API可以轻松地用于将外部应用程序与其服务集成,这些应用程序还可以包含恶意软件程序。