APT团伙是如何利用Windows热修复的?

日期: 2016-10-09 作者:Nick Lewis翻译:邹铮 来源:TechTarget中国 英文

高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?

Nick Lewis:高级持续性威胁(APT)团伙历来喜欢利用零日漏洞和内置工具作为其攻击手段。热修复是Windows 2003中推出的安全功能之一。Windows Defender高级威胁狩猎队检测到名为Platinum的APT团伙正在利用这个功能,当热修复不起作用时,他们似乎还可使用其他技术来注入恶意代码。

Windows热修复是微软为了减少服务器需要重新启动次数推出的功能。它的工作原理是通过已修复的代码在内存运行可执行文件,以便使用已更新的代码,替代存在漏洞的代码。热修复功能目前存在于Linux和UNIX以及Windows中。它用于确保高可用性,当核心操作系统进程需要修复时,不需要重新启动系统。由于操作系统会被修改,热修复需要作为管理员执行这些操作,但攻击团伙发现一种方法利用热修复隐藏他们的攻击。

企业可通过保护核心操作系统安全以及管理员访问权限来抵御热修复攻击,例如Platinum团伙的攻击。Windows 2012还没有被报告包含不安全的热修复功能,所以更新服务器到新版本可能是不错的选择。当对服务器的初步检查没有发现攻击指标时,针对APT的标准网络监控也可帮助发现受感染的服务器,同时,还有必要部署分层防御–包括监控网络。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

翻译

邹铮
邹铮

相关推荐

  • 亚信安全网络安全威胁报告:APT攻击不断,金融业成威胁重灾区

    近日,亚信安全发布《2016年第三季度网络安全威胁报告》,报告显示APT攻击在本季度持续活跃,特别是Rotten Tomato APT组织瞄准企业用户以窃取机密信息。

  • C3峰会后续:APT成头号网络安全杀手 威胁取证难怎么破?

    APT攻击是长期的。相应地,对抗也是持久之事。而在这个持续的对抗过程中,就需要综合多种技术和解决方案对APT做侦测、分析及进一步防治,而对于高级威胁取证难题,关联的智能则是其核心所在。

  • 安全防御:数据与情报需唯“真”是问

    如今已经是动态安全时代,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。