高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?
Nick Lewis:高级持续性威胁(APT)团伙历来喜欢利用零日漏洞和内置工具作为其攻击手段。热修复是Windows 2003中推出的安全功能之一。Windows Defender高级威胁狩猎队检测到名为Platinum的APT团伙正在利用这个功能,当热修复不起作用时,他们似乎还可使用其他技术来注入恶意代码。
Windows热修复是微软为了减少服务器需要重新启动次数推出的功能。它的工作原理是通过已修复的代码在内存运行可执行文件,以便使用已更新的代码,替代存在漏洞的代码。热修复功能目前存在于Linux和UNIX以及Windows中。它用于确保高可用性,当核心操作系统进程需要修复时,不需要重新启动系统。由于操作系统会被修改,热修复需要作为管理员执行这些操作,但攻击团伙发现一种方法利用热修复隐藏他们的攻击。
企业可通过保护核心操作系统安全以及管理员访问权限来抵御热修复攻击,例如Platinum团伙的攻击。Windows 2012还没有被报告包含不安全的热修复功能,所以更新服务器到新版本可能是不错的选择。当对服务器的初步检查没有发现攻击指标时,针对APT的标准网络监控也可帮助发现受感染的服务器,同时,还有必要部署分层防御--包括监控网络。