建议投诉 | 联系我们 | 关注微信 安全虎 - 专注于互联网信息安全的科技新媒体!
你的位置:首页 > 行业虎评 » 正文

APT29网络间谍使用“域名幌子”技术规避检测

来源:2017-04-02 | 人围观 | 评论:暂无评论

APT29(别名公爵、安逸熊、舒适公爵)至少2年前便已使用该技术。该组织据信是美国大选黑客事件和挪威著名公司攻击活动的背后黑手。

APT29使用了Tor匿名网络与被感染主机通信。Tor流量会被某些防御机制认为是可疑流量。为将Tor流量伪装成合法流量,APT29使用了Meek插件,实现“域名幌子”,将发送到Tor的流量包装进看起来无害的 google.com HTTPS POST 请求中。

Meek工作流示意

在攻击中,APT29使用PowerShell脚本和批处理文件在目标系统上安装Tor客户端和Meek插件。他们利用了粘滞键辅助功能的漏洞,用Windows命令行程序(cmd.exe)替换了合法程序,获取到以系统权限执行命令的shell,可以添加或修改用户账户。

执行粘滞键漏洞利用的脚本还会创建一个名为“谷歌更新”的Windows服务,确保该后门即便系统重启也能驻留。

域名幌子技术广为人知前就已被APT29加以利用了。通过公开的实现,他们成功隐藏了自身网络流量,都不用怎么研究或开发,而且因为是公开的工具,还很难归因溯源。在网络中检测此类活动需要对TLS连接和有效网络特征码的可见性。

相关阅读

揭秘|攻击美国政府系统的俄罗斯黑客
FBI和DHS的联合分析报告也未能指认俄罗斯为攻击美国大选的真凶

 

标签:俄罗斯  幌子  间谍  域名  网络
Top