APT攻击者是如何利用HTML注释攻击的?

安全
你有没有想过高级持续性攻击(APT)者究竟为什么如此难以检测到?因为这些高级持续性威胁(APT)攻击者使用的是目标主机上现有的工具,通过常用网络端口,并将他们的命令控制(C&C)通信隐藏在HTML注释中。

你有没有想过高级持续性攻击(APT)者究竟为什么如此难以检测到?因为这些高级持续性威胁(APT)攻击者使用的是目标主机上现有的工具,通过常用网络端口,并将他们的命令控制(C&C)通信隐藏在HTML注释中。

“他们试图瞒天过海!”对这些攻击进行取证调查研究的HBGary首席科学家Shawn Bracken表示,“应该注意到他们对目标企业使用的行为阻断和分析非常熟悉。”

这些攻击者没有采取任何可能触发警报或者引起怀疑的行动,而是试图融入系统。“他们安装的工具都是专门不会与入侵防御系统发生冲突的工具,并且他们使用的是合法的已发布的API,试图不引起任何怀疑。”

这意味着使用目标操作系统中存在的真正的系统管理工具,并且越来越多地使用HTML用于控制命令通信。至少有三个高级持续性攻击团队,包括Operation Shady RAT campaign背后的攻击者,都是用了这样的技术来掩盖他们的通信。“但你不能阻止所有包含注释的网站,”Bracken表示。

戴尔安全工作反威胁部门的恶意软件研究主管Joe Stewart表示,在网页使用加密HTML注释在一段时间内已经成为高级持续攻击的一部分。“这个技术已经被用了好几年了,我相信,那些跟踪高级持续攻击活动的安全研究人员早就意识到这一点,”Stewart表示,“知道HTML注释可能被利用可以帮助检测高级持续攻击流量,然而,只有特定恶意软件会使用特定HTML注释,其他都有各自不同的格式,因此很难察觉。”

它的工作原理是这样的:攻击者利用互联网某个地方的web服务器或者社交网络站点,例如博客网站。然后攻击者将他的编码指令作为隐藏注释藏在这个网站中,而RAT会定期检查这个页面。

“我们已经看到了两种情况:攻击者将使用SQL诸如攻击渗透到受感染的web服务器,然后将他的注释隐藏在这个服务器中,”HBGary首席执行官Greg Hoglund表示。

RAT有一个硬编码DNS名称来连接,这个名称随后会被修改为与被感染网站相匹配的IP地址,“所有RAT进行出站连接,并获取指令,”他表示。

第二种情况是,攻击者使用合法的社交网络媒体或者应用程序网站,例如Google BlogSpot来将他们隐藏指令藏在HTML注释中,Hoglund表示。这些指令通常是配置指令,例如指示一台机器连接到受害者网络特定机器以及打开一个TCP连接。这就为攻击者提供了到那台机器的互动连接,“并且他获取了命令行访问权限,”Hoglund说到。

即使这些远程访问工具没有故意隐藏起来:“它们完全不会被察觉,看起来就像是正常软件。”

因此,如果你可以找到HTML注释,你就可以找出在哪台机器上安装了RAT,但是也有可能在网络种存在大量RAT程序。

责任编辑:于爽 来源: IT168
相关推荐

2011-05-16 09:19:51

2014-08-20 09:44:57

2022-03-05 12:00:11

网络钓鱼网络攻击

2021-11-04 05:48:43

SSL加密攻击勒索软件

2013-09-11 19:45:20

2011-03-21 10:46:07

2023-10-25 15:08:23

2022-02-13 23:12:34

网络钓鱼谷歌Google

2023-11-22 15:17:54

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击

2016-01-05 15:54:32

2021-04-30 08:47:34

数据中毒攻击勒索软件

2022-01-04 11:58:49

Docker API网络攻击文件加密

2023-04-21 19:01:55

2021-06-02 10:51:44

勒索软件攻击数据泄露

2021-11-11 12:03:37

勒索软件攻击漏洞

2022-08-19 15:40:08

密码证书安全

2021-03-15 13:56:00

DDoS攻击加密货币

2014-02-25 09:29:41

2010-12-09 09:29:44

点赞
收藏

51CTO技术栈公众号