APT团伙是如何利用Windows热修复的?

最新推荐文章于 2024-10-07 09:39:21 发布
最新推荐文章于 2024-10-07 09:39:21 发布
阅读量73 收藏
点赞数
文章标签: 操作系统
原文链接:https://yq.aliyun.com/articles/168050
版权

高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?

Nick Lewis:高级持续性威胁(APT)团伙历来喜欢利用零日漏洞和内置工具作为其攻击手段。热修复是Windows 2003中推出的安全功能之一。Windows Defender高级威胁狩猎队检测到名为Platinum的APT团伙正在利用这个功能,当热修复不起作用时,他们似乎还可使用其他技术来注入恶意代码。

Windows热修复是微软为了减少服务器需要重新启动次数推出的功能。它的工作原理是通过已修复的代码在内存运行可执行文件,以便使用已更新的代码,替代存在漏洞的代码。热修复功能目前存在于Linux和UNIX以及Windows中。它用于确保高可用性,当核心操作系统进程需要修复时,不需要重新启动系统。由于操作系统会被修改,热修复需要作为管理员执行这些操作,但攻击团伙发现一种方法利用热修复隐藏他们的攻击。

企业可通过保护核心操作系统安全以及管理员访问权限来抵御热修复攻击,例如Platinum团伙的攻击。Windows 2012还没有被报告包含不安全的热修复功能,所以更新服务器到新版本可能是不错的选择。当对服务器的初步检查没有发现攻击指标时,针对APT的标准网络监控也可帮助发现受感染的服务器,同时,还有必要部署分层防御--包括监控网络。

本文转自d1net(转载)

weixin_34087301
关注
windows 修补定
04-11
打个补丁,USB2.0提速四成Windows补丁使USB2.0接口传输速率提升
修复技术
it_yangkun的博客
10-05 303
修复技术 APP提早发出去的包,如果出现客户端的问题,实在是干着急,覆水难收。因此线上修复方案迫在眉睫。 概述 基于Xposed中的思想,通过修改c层的Method实例描述,来实现更改与之对应的java方法的行为,从而达到修复的目的。 Xposed 诞生于XDA论坛,类似一个应用平台,不同的是其提供诸多系统级的应用。可实现许多神奇的功能。Xposed需要以越狱为
修复总结
czZ__czZ的博客
12-08 281
修复总结 在我们应用上线后出现bug需要及时修复时,不用再发新的安装包,只需要发布补丁包,在客户无感知下修复掉bug。 修复解决方案 AndFix Robust 对每个函数都在编译打包阶段自动的插入了一段代码。类似于代理,将方法执行的代码重定向到其他方法中。 Tinker Tinker通过计算对比指定的Base Apk中的dex与修改后的Apk中的dex的区别,补丁包中的内容即为两者差分的描述。 运行时将Base Apk中的dex与补丁包进行合成,重启后加载全新的合成.
修复初识
NoClay's Home
08-29 505
修复技术APP提早发出去的包,如果出现客户端的问题,实在是干着急,覆水难收。因此线上修复方案迫在眉睫。概述基于Xposed中的思想,通过修改c层的Method实例描述,来实现更改与之对应的java方法的行为,从而达到修复的目的。阿里的基于C/C++层操控method指针的Dexposed,AndFix,以及QQ空间的基于dex分包的HotFix,后者和前者的修复方案在原理上截然不同,可以说各有千
几种主流修复方案分析
欢迎关注公众号:【码农突围】,回复9999,可以获取一份LeetCode刷题笔记
03-14 2152
修复是在Android上一种越来越流行的技术,需要对底层原理有比较清晰的了解。今天看下几种主流修复方案分析:为什么使用修复使用修复修复的流派主流的修复方案分析对比分析为什么使用修复 重新发布版本代价太大用户下载安装成本太高BUG修复不及时,用户体验太差使用修复后 无需重新发版,实时高效修复用户无感知修复,无需下载新的应用,代价小修复成功率高,把损失降到最低修复流派 1、底层替
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
安装 Kali NetHunter (完整版、精简版、非root版)、实战指南、ARM设备武器化指南、andrax、安卓渗透drozer
freeking101的博客
04-11 1万+
Kali NetHunter 是基于 Kali Linux 的一个免费开源的移动渗透测试平台,适用于 Android 设备。NetHunter 的3种版本NetHunter Rootless:无需 root,适用于 无 root 设备。NetHunter Lite:精简版,完整的NetHunter软件包,适用于没有自定义内核的root手机。NetHunter:完整版,完整的NetHunter软件包,适用于支持自定义内核的root手机。两个root版本都提供了额外的工具和服务。
wuyun知识库目录
Grey的博客
01-15 8277
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
2017年Android恶意软件专题报告
omnispace的博客
03-24 6386
摘    要2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意软件呈现总体下降趋势。2017全年,从手机用户感染恶意软件情况看,360互联网安全中心累计监测到Android用户感染恶意软件2.14亿,相比2016年2.53亿人次下降15.4%,平均每天恶意...
APT攻击是什么?面对APT攻击,我们应该怎么做?
N2O_666的博客
05-24 1万+
APT攻击 概念 APT(Advanced Persistent Threat),中文释义为高级持续性威胁,APT攻击是一种利用先进攻击手段对特定目标进行长期持续性攻击的攻击形式。 它的攻击原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT组织在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,APT组织会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。 为了更好的理解APT攻击,下面我们拆解下APT A(A
使用apt-get命令如何安装软件?
技术专家
06-24 3865
使用apt-get命令如何安装软件?软件安装有两种方式离线安装和在线安装。;
ubuntu: sudo apt-get update老是失败怎么办?
天天搬砖的秃头程序员的博客
10-06 3786
1. 背景 我的Ubuntu是12 的,太老了, 执行sudo apt-get update老是失败:各种404 2. 解决办法 网上找了很多办法,都不行。 最终还是这个办法管用: 打开:Ubuntu Sources List Generator 选择:与你实际虚拟机最相近或者相等的版本,我这里只能选择14 点击最下面的generate list 如椭圆框所说,把长方形框里的source list 替换掉虚拟机里的/etc/apt/sources.list 3.
Ubuntu apt-get被锁,被占用
杰出的小茄子de博客
08-13 2123
让我们开始吧问题描述产生原因解决方法 问题描述 E: Could not get lock /var/lib/dpkg/lock-frontend - open (11: Resource temporarily unavailable) E: Unable to acquire the dpkg frontend lock (/var/lib/dpkg/lock-frontend), is another process using it? 产生原因 运行apt-get时,锁定文件将会创建于/var/li
Linux引导修复 & 利用Linux重建Windows引导
Rookie_tong的博客
07-10 8976
环境:Ubuntu18.04,Windows10,UEFI模式 所需物品:Ubuntu启动盘×1 问题记录:安装完Windows10之后,正常启动电脑可以进入。然后利用U盘安装Ubuntu18.04,发现无法直接一键安装,因此手动分区,建立了三个目录,分别如下: SWAP # 交换空间,分配大小约为电脑内存 EFI # EFI分区(约500M-1000M,逻辑分区),正常情况下可以不建立...
修复/更新技术原理
Vincent的博客
12-31 2650
文章目录1 修复技术出现的背景2 修复技术简介3 修复技术需要掌握的基本知识4 插件化和修复的区别5 插件化5.1 什么是插件化5.2 插件化例子5.3 新增界面、资源的插件6 修复技术 1 修复技术出现的背景 要说到修复的出现,主要还是因为在中国Android应用没有一个统一的应用商店,每个手机厂商基本都会定制自己的一款手机应用市场,不像国外的统一都使用Google Play。 中...
【2024版】最新kali linux入门及常用简单工具介绍(非常详细)零基础入门到精通,收藏这一篇就够了_kalilinux
最新发布
weixin_57514792的博客
10-07 1240
最新kali linux入门及常用简单工具介绍
鸿蒙开发(NEXT/API 12)【访问控制&应用权限管控概述】程序访问控制
鸿蒙的技术博客
10-06 824
默认情况下,应用只能访问有限的系统资源。但某些情况下,应用存在扩展功能的诉求,需要访问额外的系统数据(包括用户个人数据)和功能,系统也必须以明确的方式对外提供接口来共享其数据或功能。
sudo apt update sudo apt upgrade是干嘛用的?
07-15
`sudo apt update` 和 `sudo apt upgrade` 是用于更新和升级 Ubuntu 系统中已安装软件包的命令。 - `sudo apt update` 命令用于更新软件包源列表。软件包源列表包含了系统可以下载和安装软件包的服务器地址。通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值