平安资讯报告
应用电磁辐射可获取恶意软件信息
钻研人员开发了一种独特的策略,该策略应用来自物联网(IoT)设施的电磁场发射作为旁路,以获取无关针对嵌入式零碎的多种类型恶意软件的精确信息,即便应用混同策略来阻止剖析也是如此。
应用旁道数据检测与先前已知模式不同的发射异样,并在检测到相似于恶意软件的可疑行为时触发警报,与零碎的通常状况相同。这不仅不须要对指标设施进行任何更改,而且钻研中开发的框架还容许检测和分类荫蔽恶意软件,例如内核级rootkit、勒索软件和分布式拒绝服务(DDoS)僵尸网络,如Mirai,以及以前未见过的变体。
侧信道办法波及在执行30个不同的恶意软件二进制文件以及执行良性视频、音乐、图片和相机相干流动时测量电磁辐射,以训练卷积神经网络(CNN)模型,用于对真实世界的恶意软件样本进行分类三个阶段。特地是,该框架承受可执行文件作为输出,并仅基于侧信道数据生成恶意软件标签。
钻研人员应用Raspberry Pi 2B作为指标设施,其具备900MHz四核ARM CortexA7处理器和1GB内存,应用示波器和PA 303 BNC前置放大器的组合采集和放大电磁信号,无效预测在试验设置中,这三种恶意软件类型及其相干家族的准确率别离为99.82%和99.61%。
新闻来源:
https://thedigitalhacker.com/…
不要从网页复制粘贴命令——你可能会被黑
程序员、系统管理员、平安钻研人员和技术爱好者将网页中的命令复制粘贴到控制台或终端中,他们被正告说他们的零碎可能会受到威逼。
技术专家演示了一个简略的技巧,能够让您在从网页复制和粘贴文本之前三思而后行。
安全意识培训平台Wizer的创始人加布里埃尔·弗里德兰德(Gabriel Friedlander)展现了一个显著但令人诧异的hack,它会让您对从网页复制粘贴命令持审慎态度。
但弗里德兰德正告说,网页可能会暗中替换剪贴板上的内容,而最终复制到剪贴板上的内容与您打算复制的内容大不相同。
更蹩脚的是,如果没有必要的渎职考察,开发人员可能只有在粘贴文本后才意识到他们的谬误,此时可能为时已晚。
一位Reddit用户还展现了一个不须要JavaScript的技巧的代替示例:当您复制文本的可见局部时,应用HTML和CSS款式制作的不可见文本会被复制到剪贴板上。
问题不仅在于网站能够应用JavaScript更改您的剪贴板内容。它还能够暗藏HTML中人眼不可见的命令,但会被计算机复制。
新闻来源:
https://www.bleepingcomputer….
谨防假Telegram Messenger应用程序应用Purple Fox恶意软件入侵PC
Telegram消息传递应用程序的木马安装程序被用于在受感化零碎上散发基于Windows的Purple Fox后门。通过将攻打分成几个小文件,这个攻击者可能将大部分攻打回避平安检测,其中大部分文件的[防病毒]引擎检测率非常低,最初阶段导致紫狐rootkit感化。
PurpleFox于2018年首次被发现,它具备rootkit性能,容许将恶意软件植入平安解决方案无奈涉及的范畴并回避检测。Guardicore2021年3月的一份报告具体介绍了其蠕虫状流传性能,使后门可能更快地流传。2021年10月,趋势科技钻研人员发现了一个名为FoxSocket的.NET植入物,它与Purple Fox一起部署,它利用WebSockets分割其命令和管制(C2)服务器,以建设更平安的通信形式。
2021年12月,趋势科技还揭示了紫狐感化链的前期阶段,通过插入歹意SQL公共语言运行时(CLR)模块来瞄准SQL数据库,以实现长久和荫蔽的执行并最终利用SQL服务器挖矿。
钻研人员发现大量歹意安装程序应用雷同的攻打链提供雷同的Purple Fox rootkit版本,”Zargarov说。“仿佛有些是通过电子邮件发送的,而咱们认为有些是从网络钓鱼网站下载的。这种攻打的美好之处在于,每个阶段都被拆散到一个不同的文件中,如果没有整个文件集,这些文件就毫无用处。
新闻来源:
https://thehackernews.com/202…
安全漏洞威逼
微软正告称,Log4j破绽攻打程度依然很高
在察看到国家赞助的网络立功攻击者在12月之前探测系统中的Log4j“Log4Shell”缺点后,微软已正告Windows和Azure客户保持警惕。
Apache软件基金会于12月9日披露,Log4Shell可能须要数年工夫能力修复,因为谬误日志软件组件在应用程序和服务中的应用范畴十分宽泛。
Microsoft正告说,客户可能不晓得Log4j问题在他们的环境中有多广泛。CISA官员认为,数以亿计的设施受到Log4j的影响。与此同时,思科和VMware等次要技术供应商持续为受影响的产品公布补丁。
新闻来源:
https://www.zdnet.com/article…
CrowdStrike应用英特尔CPU遥测增强破绽检测
CrowdStrike示意,CPU遥测技术正在为其Falcon平台提供新的硬件增强型破绽利用检测性能,并将有助于检测简单的攻打技术,这些技术在不足古代反破绽利用缓解措施的旧PC上很难辨认和扩大内存平安爱护。
新的检测技术已装置到CrowdStrike的Falcon传感器6.27版中,可用于装备英特尔CPU(第六代或更新版本)、运行Windows 10 RS4或更高版本的零碎。
依据CrowdStike平安工程师的一份阐明,这项新技术应用英特尔处理器跟踪 (Intel PT),这是一种CPU性能,可提供宽泛的遥测技术,可用于检测和预防代码重用破绽。
英特尔PT记录处理器上的代码执行状况,通常用于性能诊断和剖析,但CrowdStrike曾经找到了一种利用遥测技术来发现以前无奈检测到的歹意流动迹象的办法。
“英特尔PT容许CPU一直地将无关以后执行代码的信息写入内存缓冲区,这可用于重建准确的控制流。次要应用场景是在运行时跟踪可执行文件,将跟踪存储在磁盘上,而后对其进行剖析以重现已执行的确切指令序列。此性能提供的程序行为可见性使其也可用于安全漏洞检测和考察,”CrowdStrike解释说。
CrowdStrike示意,在启用和反对英特尔处理器跟踪的机器上,其Falcon传感器将为选定的一组程序启用执行跟踪。“每当程序执行要害零碎服务(例如创立新过程)时,传感器都会剖析捕捉的跟踪以查找可疑操作。
CrowdStrike示意,新办法曾经证实是有价值的,并且曾经检测到几个基于返回的编程(ROP)破绽利用链。
CrowdStrike示意,通过捕捉应用程序的执行跟踪,运行在内核中的安全软件当初能够通过解析捕捉的跟踪数据包以及应用程序地址空间中执行的指令来寻找代码重用攻打。
新闻来源:
https://www.securityweek.com/…
发表回复