安基网 首页 资讯 安全报 查看内容

为绕过安全系统,黑客在谷歌云存储上托管恶意程序的实体

2018-12-29 00:36| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 网络犯罪分子通过滥用谷歌合法云存储服务托管恶意程序的实体,并通过绕过安全控制破坏企业网络。该攻击是攻击者针对谷歌云存储服务域storage.googleapis.com发起的,而全球多家公司使用的都是该服务域。 自八月起 ...

小编来报:网络犯罪分子通过滥用谷歌合法云存储服务托管恶意程序的实体,并通过绕过安全控制破坏企业网络。

该攻击是攻击者针对谷歌云存储服务域storage.googleapis.com发起的,而全球多家公司使用的都是该服务域。

自八月起,该活动主要针对银行的员工及位于美国及英国的金融服务公司。

该攻击起初是通过大规模电邮方式分发的,电邮中包含指向由谷歌云服务托管的恶意网站的钓鱼链接。

研究人员经分析发现,有4,600个网络钓鱼网站使用了合法托管服务,也可称为“名誉联网”,该方法可借知名的流行托管服务来躲避检测。

鉴于电邮安全系统可检测恶意附件,攻击者并未使用恶意附件,相反,他们使用电子邮件中的恶意链接以绕过电邮安全系统。

仅有已存在于威胁存储库的恶意URL才可能被识别出来,而鉴于攻击者会不断改变托管域的负载,这种情况并不常见。

谷歌云存储的感染过程

首先,攻击者从被入侵的电邮账户发送包含嵌入式URL的电邮启动整个恶意行动。

伪装为谷歌云存储服务合法URL的恶意URL可被用来传输两类程序的实体以感染终端节点:VBS脚本和JAR文件。

攻击者并未使用大多数网络犯罪分子使用的经过混淆(伪装)的恶意VBS脚本。

据Menlo Security称,这些VBS脚本是由同一工具包创建的,因为这三个脚本似乎都属于Houdini恶意软件系列;而经鉴定,我们发现其中一个JAR文件(Swift invoice.jar)属于Houdini/jRAT恶意软件系列。

研究人员表示,正在对其他JAR文件展开调查,且认为这些文件应属于Qrat恶意软件系列。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6639892123191607811/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部