@怪人
2年前 提问
1个回答

黑客隐藏踪迹的方式有哪些

安全小白成长记
2年前

黑客最常用隐藏踪迹的六种方式有:

  • 滥用不会引发警报的可信平台

    这是安全专业人士早期发现的一个常见现象。从渗透测试服务和工具(如Cobalt Strike和Ngrok),到已建立的开源代码生态系统(如GitHub),再到图像和文本网站(如Imgur和Pastebin),仅在过去的几年里,攻击者就瞄准了一系列受信任的平台。

    通常,Ngrok会作为bug赏金练习或渗透性测试项目的一部分,被有道德的黑客用来收集数据或为入站连接建立模拟隧道。但恶意行为者会滥用Ngrok来直接安装僵尸网络恶意软件,或是将合法通信服务连接到恶意服务器。

  • 利用品牌价值、声誉或知名度的上游攻击

    “上游”攻击会利用已知合作伙伴生态系统中的信任,并利用品牌或软件组件的受欢迎程度或声誉。攻击者的目标是将恶意代码推送到与品牌相关联的可信代码库,然后将代码分发到下游的最终目标:该品牌的合作伙伴、客户或用户。任何对所有人开放的系统也会对对手开放。因此,许多供应链攻击的目标都是开源生态系统,而其中的一些生态系统为了坚持“向所有人开放”的原则而没有进行严格的验证。然而,商业组织也受到了这些攻击。

  • 通过难以追踪的方法进行加密货币支付

  • 加密货币并不是一种完全万无一失的隐藏资金踪迹的方法。其他的一些加密货币,如门罗币(XMR)和Zcash(ZEC),在匿名交易方面比比特币具有更广泛的隐私保护能力。毫无疑问的,随着攻击者不断寻找更好的方法来隐藏他们的踪迹,犯罪分子和调查人员之间的冲突将在这条战线上继续下去。

  • 使用公共通道和协议

    像可信平台和品牌一样,合法应用程序所使用的加密通道、端口和协议为攻击者提供了另一种掩盖其足迹的方式。例如,HTTPS协议是当今网络普遍不可或缺的协议,因此,端口443(由HTTPS/SSL使用)在公司环境中很难被阻止。然而,HTTPS上的DNS(DoH)——一种解析域的协议——也使用端口443,并且被恶意软件作者滥用,将其命令和控制(C2)命令传输到了受感染的系统。

  • 使用签名的二进制文件运行混淆的恶意软件

    使用非本地二进制文件(LOLBIN)的无文件恶意软件的常见概念仍然是一种有效的规避技术。虽然混淆恶意软件、运行时打包程序、虚拟机规避或在图像中隐藏恶意有效负载是高级威胁所使用的已知规避技术,但它们的真正威力来自于绕过安全产品或在它们的雷达下运行。当有效载荷能够在某种程度上与可信软件组件、协议、通道、服务或平台相结合时,这就成为了可能。

  • 用不常见的编程语言编写恶意软件

    恶意软件作者更多地使用不常见的编程语言,以部分更好地逃避检测。使用的主要语言有Go、D、Nim和Rust。这些语言以几种不同的方式增加了混淆。首先,用新语言重写恶意软件意味着基于签名的检测工具将不再标记它(至少是在创建新签名之前)。其次,黑莓研究人员还表示,这些语言本身也起到了混淆层的作用。例如,用于解码、加载和部署其他常见恶意软件的第一阶段恶意软件是用一种不常见的语言编写的,这将有助于逃避端点检测。