[ad_1]
Ngành giám sát cho thuê Các công cụ phần mềm gián điệp di động mạnh mẽ gần đây đã nhận được sự chú ý ngày càng tăng khi các công ty công nghệ và chính phủ phải vật lộn với quy mô của mối đe dọa. Nhưng phần mềm gián điệp nhắm mục tiêu vào máy tính xách tay và máy tính để bàn là cực kỳ phổ biến trong một loạt các cuộc tấn công mạng, từ hoạt động gián điệp được nhà nước hậu thuẫn cho đến các trò lừa đảo có động cơ tài chính. Do mối đe dọa ngày càng tăng này, các nhà nghiên cứu từ công ty ứng phó sự cố Volexity và Đại học bang Louisiana đã trình bày tại hội nghị bảo mật Black Hat ở Las Vegas vào tuần trước, các công cụ mới và tinh chỉnh mà các học viên có thể sử dụng để bắt thêm phần mềm gián điệp PC trong Windows 10, macOS 12 và Máy tính Linux.
Phần mềm gián điệp PC được sử dụng rộng rãi — loại thường ghi lại các mục tiêu, theo dõi chuyển động của chuột và các lần nhấp, nghe qua micrô của máy tính và kéo ảnh hoặc video từ máy ảnh — có thể khó bị phát hiện vì những kẻ tấn công cố tình thiết kế để nó rời đi một dấu chân tối thiểu. Thay vì tự cài đặt vào ổ cứng của máy tính mục tiêu như một ứng dụng thông thường, phần mềm độc hại (hoặc các thành phần quan trọng nhất của nó) chỉ tồn tại và chạy trong bộ nhớ hoặc RAM của máy tính mục tiêu. Điều này có nghĩa là nó không tạo ra một số cờ đỏ cổ điển nhất định, không hiển thị trong nhật ký thông thường và bị xóa khi thiết bị được khởi động lại.
Nhập lĩnh vực “pháp y trí nhớ”, được hướng chính xác đến việc phát triển các kỹ thuật để đánh giá những gì đang xảy ra trong không gian danh nghĩa này. Tại Black Hat, các nhà nghiên cứu đã đặc biệt công bố các thuật toán phát hiện mới dựa trên những phát hiện của họ cho khuôn khổ pháp y bộ nhớ nguồn mở Biến động.
“Pháp y trí nhớ rất khác cách đây 5 hoặc 6 năm về cách nó được sử dụng trong lĩnh vực này cho cả ứng phó sự cố và cơ quan thực thi pháp luật,” giám đốc của Volexity, Andrew Case nói với WIRED. (Case cũng là một nhà phát triển chính của Volatile.) “Nó đã đến mức mà ngay cả bên ngoài các cuộc điều tra phần mềm độc hại thực sự căng thẳng, pháp y về bộ nhớ vẫn cần thiết. Nhưng để bằng chứng hoặc hiện vật từ mẫu bộ nhớ được sử dụng tại tòa án hoặc một số loại thủ tục pháp lý, chúng ta cần biết rằng các công cụ đang hoạt động như mong đợi và các thuật toán đã được xác thực. Công cụ mới nhất này dành cho Mũ đen thực sự là một số kỹ thuật mới khó nhằn như một phần trong nỗ lực của chúng tôi nhằm xây dựng các khuôn khổ đã được xác minh. “
Case nhấn mạnh rằng các công cụ phát hiện phần mềm gián điệp mở rộng là cần thiết vì Volexity và các công ty bảo mật khác thường xuyên thấy các ví dụ thực tế về việc tin tặc triển khai phần mềm gián điệp chỉ sử dụng bộ nhớ trong các cuộc tấn công của họ. Ví dụ, vào cuối tháng 7, Microsoft và công ty bảo mật RiskIQ đã công bố các phát hiện và biện pháp giảm thiểu chi tiết để chống lại phần mềm độc hại Subzero từ một công ty phần mềm gián điệp thương mại của Áo, DSIRF.
“Các nạn nhân được quan sát [targeted with Subzero] cho đến nay bao gồm các công ty luật, ngân hàng và cơ quan tư vấn chiến lược ở các quốc gia như Áo, Vương quốc Anh và Panama, ”Microsoft và RiskIQ viết. Họ nói thêm rằng trọng tải chính của Subzero “nằm độc quyền trong bộ nhớ để tránh bị phát hiện. Nó chứa nhiều khả năng bao gồm ghi bàn phím, chụp ảnh màn hình, exfiltrating tệp, chạy trình bao từ xa và chạy các plugin tùy ý ”.
Các nhà nghiên cứu đặc biệt tập trung vào việc mài dũa các phát hiện của họ về cách các hệ điều hành khác nhau nói chuyện với “thiết bị phần cứng” hoặc cảm biến và các thành phần như bàn phím và máy ảnh. Bằng cách giám sát cách các phần khác nhau của hệ thống chạy và giao tiếp với nhau và tìm kiếm các hành vi hoặc kết nối mới, các thuật toán pháp y của bộ nhớ có thể bắt và phân tích nhiều hoạt động độc hại tiềm ẩn hơn. Ví dụ, một lời khuyên tiềm năng là theo dõi quy trình hệ điều hành luôn chạy, giả sử tính năng cho phép người dùng đăng nhập vào hệ thống và gắn cờ nếu mã bổ sung được đưa vào quy trình đó sau khi nó bắt đầu chạy. Nếu mã được giới thiệu muộn hơn, nó có thể là một dấu hiệu của sự thao túng độc hại.
cài đặt phần mềm online
[ad_2]
