过去一年,全球网络空间经历了一场漫长的网络战,核心参与国是俄罗斯和乌克兰,其他西方国家因各种原因,也参与了这场网络战。从攻击频率、攻击范围、攻击影响、参与者角度看,俄乌网络战无疑是2022年的重磅网络攻击事件。弄清其中使用的网络武器和数字技术,有助于帮助我们提前识别风险并合理规避风险,以免在面临网络攻击时深陷网络泥潭,防患于未然。
俄乌网络战的标志性开端是2022年2月24日,俄罗斯军事情报部门攻击Viasat卫星通信网络。这次攻击时间恰恰是俄罗斯军队越过乌克兰边境的前一小时,达到了阻碍乌克兰通讯信号的目的,同时也影响了附近几个欧洲国家的通讯,该事件被视为一次重大的网络攻击事件,是俄乌网络战的开端。
政府基础设施是网络攻击者的主要目标。根据攻击者使用的恶意软件类型可以划分为2种攻击线:破坏性攻击和间谍攻击。破坏性攻击旨在破坏数据并使目标系统无法运行。间谍攻击旨在建立立足点并从目标系统中窃取数据。
攻击中使用的恶意软件通常为攻击者提供后门访问,包括网络摄像头和麦克风捕获、键盘记录以及下载和安装其他组件。窃取的数据包括操作系统信息、文档、图片以及来自 Web 浏览器和其他软件的存储密码。本文,我们盘点了俄乌网络战中最常用的10款秘密武器,了解冲突中使用了哪些数字技术和工具。
Cobalt Strike最初是为了训练网络防御者而创建的渗透测试工具,在这场冲突中被攻击者滥用。它允许攻击者在目标机器上部署名为“Beacon”的后门代理。虽然它主要是为红队设计的,但勒索软件运营商和APT组织都利用它来下载和执行恶意有效载荷。
Beacon植入是无文件的,它由无阶段或多阶段的壳代码组成,通过利用漏洞或执行壳代码加载器来加载。它与C&C 服务器 的通信支持多种协议,包括HTTP、HTTPS、DNS、SMB、命名管道以及经过广泛修改的正向和反向TCP,还可以通过连锁信标建立连接。一旦攻击者获得了受损网络内单个系统的访问权,就可以利用它在内部移动至其他系统。
Cobalt Strike被用于针对乌克兰政府组织的大规模网络钓鱼活动。
2、恶意擦除器:HermeticWiper、IsaacWiper、CaddyWiper、DoubleZero
HermeticWiper
HermeticWiper是一个Windows可执行文件,通过禁用负责数据备份的卷影复制服务(VSS),并滥用EaseUS分区主机的合法驱动程序以破坏数据。它不仅会损坏主引导记录(MBR)和卷引导记录,还会通过碎片整理擦除文件,导致数据无法恢复。HermeticWiper特别针对Windows注册表文件ntuser.dat和Windows事件日志,以尽量减少可用的取证文物。最后,系统重启被触发,使目标主机无法运行。
值得注意的是,HermeticWiper的编译时间戳是2021年12月28日。这表明,至少从12月开始,2月的袭击已在筹备中。
斯洛伐克网络安全公司ESET称,HermeticWiper被用于针对乌克兰高知名度组织的大规模网络攻击。
IsaacWiper存在于没有Authenticode签名的Windows DLL或EXE中,执行时会枚举所有物理和逻辑驱动器和卷标,用随机字节覆盖现有内容。该工具还会将不能访问的文件重命名为临时名称,然后擦拭新重命名的文件。IsaacWiper创建了一个日志文件C:\ProgramData\log.txt.其中保存了破坏活动的进度。
CaddyWiper动态地解决了大部分用于使检测和分析更具挑战性的API。如果机器是一个域控制器,CaddyWiper的执行会立即停止,否则恶意软件会试图破坏 “C:\Users “上的文件,然后擦除从D:\到Z:\的所有驱动器。这意味着任何连接到系统的网络映射驱动器也可能被擦除。擦除器试图清空每个物理驱动器,破坏主引导记录(MBR)和有关驱动器分区的扩展信息。CaddyWiper被用于针对乌克兰能源供应商的网络攻击。
DoubleZero是一种用C语言开发的恶意破坏程序,攻击者使用该软件发起鱼叉式网络钓鱼攻击,目前该活动已被跟踪为UAC-0088。DoubleZero擦除文件使用两种方法破坏文件:用4096字节的零块覆盖其内容或使用API调用NtFileOpen、NtFsControlFile。恶意软件会在关闭受感染的系统之前删除以下Windows注册表HKCU、HKU、HKLM、HKLM\BCD。DoubleZero用于对乌克兰企业的网络攻击。
HermeticRansom用Go语言编写的勒索软件,与HermeticWiper同时部署。它列举了可用的驱动器,收集了除Windows和Program Files文件夹之外的目录和文件列表。HermeticRansom将对选定的文件类别使用勒索软件运营商的电子邮件地址和.encryptedJB扩展名重新命名,然后使用AES算法对文件内容进行加密。勒索软件还在桌面文件夹中创建了一个read_me.HTML文件,其中包含一个带有攻击者联系方式的勒索说明。
SMB spreader传播器由开发者命名的romance.dll,采用与WMI传播器相同的两个参数。它的内部名称可能是对EternalRomance漏洞利用的引用。它会尝试连接到远程SMB共享(端口 445)的管道,然后通过NTLMSSP对SMB共享进行身份验证,如果连接成功,会尝试将-s参数引用的文件放到目标ADMIN$共享中。
AcidRain(酸雨)可以在不需要签名验证或完全升级固件的情况下安装任意二进制文件。它利用Skylogic的科学设备远程访问KA-SAT的网络管理段。攻击者横向移动到用于操作网络的特定段部分,并同时在大量住宅调制解调器上执行合法的、有针对性的管理命令。这些破坏性命令覆盖了SurfBeam调制解调器上闪存中的关键数据。
6、后门:GraphSteel 、GrimPlant、LoadEdge
GraphSteel
GraphSteel后门旨在从受感染的机器中窃取数据。它与C&C服务器的通信使用443端口,并使用AES密码进行加密。GraphQL查询语言被用于通信。从文档、下载、图片、桌面文件夹和所有可用的驱动器(从D:/到Z:/)中窃取数据。GraphSteel还渗透了基本的系统信息、IP配置、wifi配置文件,并使用powerhell从密码库中窃取证书。
GrimPlant是用Go语言编写的一个简单后门,允许远程执行PowerShell命令。它与C2服务器的通信使用80端口,并基于gRPC (一种开源RPC框架)。通信是用TLS加密的,其证书在二进制中是硬编码。GrimPlant每10秒发送一次包含基本主机信息的心跳,使用PowerShell执行从C2服务器接收到的命令,并报告返回的结果。
GraphSteel & GrimPlant被用于对乌克兰政府组织的电子邮件钓鱼攻击。
LoadEdge类似于InvisiMole的TCP下载组件的升级版本,用于下载进一步的后门模块RC2FM和RC2CL,通常作为新受损计算机上的第一个有效载荷部署。InvisiMole的RC2FM和RC2CL后门提供了扩展的监视功能,如屏幕、网络摄像头和麦克风捕捉、文档窃取、收集网络信息以及有关已安装软件的信息。LoadEdge用于对乌克兰政府组织的电子邮件网络钓鱼攻击。
Industroyer2是一个针对工业控制系统(ICS)的复杂恶意软件。它滥用了电力控制系统中使用的IEC 60870-5-104(IEC 104)协议。与其前身Industroyer不同,Industroyer2是一个独立的可执行文件,由一个后门、加载器和几个有效载荷模块组成。它的独特之处是可以通过扰乱输电变电站运行从而导致停电。industrroyer2被用于针对乌克兰能源供应商的定向网络攻击。
DarkCrystal RAT(也称DCRat)是一个商业化的俄罗斯.NET后门,可在地下论坛购买,主要用于监视受害者并从被攻击的主机中窃取数据。DCRat支持监视屏幕、网络摄像头捕捉、键盘记录以及文件和凭证盗窃。其他功能还包括窃取剪贴板内容、命令执行和DOS攻击功能。DCRat被用于对乌克兰电信运营商和媒体机构的的电子邮件钓鱼攻击。
DCRat最早于2019年初出现,由于其多功能性和价格便宜,十分受攻击者青睐。该软件以订阅的方式发布:两个月600卢布(约9.5美元),一年2500卢布(约39美元),终身订阅则需要4500卢布(约70美元)。
CredoMap是威胁行为者APT28使用的一个.NET凭证窃取器。它从Chrome、Edge和Firefox浏览器中窃取cookies和存储密码。根据不同的版本,被盗的数据会通过电子邮件或HTTP POST请求渗出到网络后端。CredoMap被用于电子邮件钓鱼攻击。
AwfulShred和SoloShred是旨在破坏Linux系统的恶意外壳脚本。这两个脚本的破坏活动都依赖于带有一个覆盖通道的shred命令,该命令会增加数据破坏。
AwfulShred的功能有些复杂。在清除数据之前,它禁用并破坏了Apache、HTTP和SSH服务,禁用交换文件并清除bash历史记录。 最后,它会触发系统重启使目标主机无法运行。
AwfulShred和SoloShred被用于针对乌克兰能源供应商的定向网络攻击。
毫无疑问,先进的网络武器是现代军队武器库中的关键工具,未来全球网络战的数量可能会增加。
网络战有其不可替代的三大优势。首先,随着连接到网络的设备数量不断增加,攻击面变得越来越大,增加了网络战的潜在用例。其次,网络战不受常规战争的领土限制,提供了渗透和破坏远远离前线目标的机会。最后,与传统战争相比,网络战是肉眼看不见的,侵略者乙方没有生命危险,而且成本效益高。
随着俄乌战火的蔓延,我们可以看到,即使是合法的渗透测试工具也可能被劫持并用作武器。了解冲突中使用了哪些数字技术和工具,有助于在损害发生之前提前识别并减轻未来的威胁。人通常是网络安全链中最薄弱的环节,无意点开的恶意附件或链接往往会导致攻击发生。有效的预防策略例如培训计划,可以确保人员能够识别和减轻威胁。
黑百合的花语是什么?
黑百合花语:恋·诅咒种类:百合科原产地:日本、堪察加、东西伯利亚花色:黑紫色花期:夏生长在标高二四00公尺~二五00公尺的高山上,孤傲的花朵--黑百合。 虽然这样,它的花朵却不像个性这麽强烈。 花形略为向下,像低著头的害羞少女。 在高山上发现黑百合的登山家,都会有把它带回,据为己有的冲动。 那一瞬间的感觉,不正与刚开始「恋爱」时的心情一样吗?根据日本虾夷族人的传说,如果女性把黑百合放在所喜欢的男性旁边,那个男性就会产生向自己这儿走来的念头。 黑百合具有吸引男性的神秘魔力呢!由於花色是黑紫的,所以又被冠以〔诅咒」的花语了。 ★重点:这种只生长在高山地区的花朵,在一般花店中几乎看不到,所以,也只适合整株盆栽。 动漫中的黑百合 黑百合是日本动画片“机动战舰剧场版”中,主人公天河明人的座机。 由剧中著名的“尼路加重工”在明人的“宿根草”基础上改造完成,并交付明人使用,用来与“火星后继者”的秘密部队“北辰众”战斗。 黑百合有3种形态,分别为高机动形态,黑百合形态,宿根草形态。 通常以黑百合形态出现。 黑百合高15米,宽8米。 具有厚重的装甲和惊人的速度。 战斗时可以展开“歪曲立场”抵御敌人的攻击。 也可以使用“波色子跳跃”进行瞬间移动,对敌人展开奇袭。 相对的,黑百合的武器极为贫乏,仅有两门连射式手炮,两门胸部速射炮,以及常规格斗方式。 战斗中黑百合可以通过解除装甲来变换形态,对应战况。 在与北辰的决战中,黑百合依靠解除自己厚重的装甲,硬抗夜天光一拳,并顺势以宿根草形态击破夜天光的驾驶舱,终于消灭了大反派北辰。 这一幕在机器人动画中极其有名,游戏机战A,机战R,机战MX,机战W,ACE系列中,黑百合均曾经登场,可见其人气。
帝国时代罗马崛起简体版的秘籍是什么
king arthur - 把鸟转变成龙 pow big mamma - 新的建筑 convert this! - 新的神学单位,可招神甫,通过放闪电攻击的人 stormbilly - 得到一个机器人 旧版: big bertha 投石车力量变强 big daddy 得到赛车 coinage 1000金 diediedie 敌全灭 flying dutchman 得战舰可上陆地 gaia 魔法师力量变强 home run 过关 medusa 农民被杀后变骑士,再被杀变投石车 no fog 雾效果取消 reveal map 全地图 steroIDS 加速 pepperoni pizza 1000食物 photonman 可以得到一个手持激光武器的人 quarry 1000石头 秘技三 游戏中按下Enter键后,输入下列密码: STORMBILLY:机械兽会发射雷射 CONVERT THIS!:会降天谴的僧侣 BIG MOMMA:得到一辆白色车子,有火箭发射系统 POW:婴儿骑著三轮车会发射炮弹 KING ARTHUR:飞鸟变成飞龙 GRANTLINKSPENCE:动物变得很强 DIEDIEDIE:杀死所有对手 RESIGN:放弃 REVEAL MAP:显示所有地图 PEPERONI PIZZA:食物1000 COINAGE:金1000 WOODSTOCK:木头1000 QUARRY:石头1000 PHOTON MAN:太空时代的人,手持雷射枪 GAIA:控制动物 HARI KARI:自杀 FLYING DUTCHMEN:投石船可在路上行走 NO FOG:地图迷雾效果关闭 STEROIDS:快速建筑 BIG DADDY:飞弹发射车 KILLX:杀死编号(#=1-8)的敌人 HOMERUN:胜利 BIG BERTHA:投石车变强 ICBM:弩车的攻击距离增为100 HOYOHOYO:教士变强 DARK RAIN:弓箭手变成树木 BLACK RIDER:骑士变成黑骑士 再生 To bring a villager back in the next life, highlight a member of the general populace and press [Enter]. Then type MEDUSA and march them off to peril. Villagers return as Black Riders; and Black Riders become heavy catapults. Catapults fire on Peasants To fire on civilians, highlight a catapult and press [Enter]. Then type: JACK BE NIMBLE. Depending upon its orientation, catapults target different members of the populace. Direction - Target East: peasants North: cattle South: peasants West: Superman
反叛的鲁路修第二季会怎么策划?
反叛的鲁路修第二季会在2008年4.6播出正好是高达0025完结之后开始!【资讯】《反叛的鲁鲁修》第2季 每话的名字stage26:从那个正是1年…这次打倒不列颠!stage27:勒鲁什的弟弟? 神秘的少年RORO(暂时翻译为落落)登场stage28:活着的C.C. 这样的话朋友齐(整)了的zerostage29:骑马的武士团复活!stage30:日本独立日本! 下面变成的舞台是只31:你不预先弄活到世界的 koneria的对反攻stage32:零的不信认虐杀事件的真相stage33:相信的! 跟与红月卡伦的叛变stage34:我决定了精神准备的 勒鲁什成为阿修罗的时候与stage35:修奈泽尔首次对抗胜超过了是哪一个stage36:界限的热的头脑战 勒鲁什修奈泽尔stage37:怎么说这样的事… 修奈泽尔的秘密兵器stage38:最后的王牌 RORO(暂时翻译为落落)被掩盖了的力量stage39:旧友的再见我打倒你的stage40:决死的总力战生存是谁stage41:终于那个男人… 不列颠皇帝出征stage42:可怕的皇帝的力量 勒鲁什最大的危机stage43:geass不好使? 不列颠皇帝的谜stage44:魔女的坦白 C.C.打倒no可惊的过去stage45:皇帝的钥匙 那(样)nanari?stage46:娜娜莉复明! 所谓那个瞳孔住宿了的力量?stage47:那样的愚蠢的? 可怕的娜娜莉的geassstage48:宿命的对抗枢木朱雀的终结stage49:皇帝死!跟神圣不列颠帝国崩溃stage50:已经一起不被需要的 娜娜莉的眼泪的离别近日《Newtype》上终于公布了《叛逆的鲁路修》第二季播放的正式消息,在漫长的等待之后,官方终于公布第二季将在明年春季档播出,也就是在《高达00》两季之间。 新系列中“Code Geass”将继续,但不再只是以日本(11区),是以世界为舞台。 而也会有新角色出现,其中会有鲁路修的兄弟一个黑发中华男新角色出现,而且据称形象与CLAMP初期作品中的某长发角色相似,难道是暗示鲁路修的新出场兄弟……是夜叉王么?OTL而从杂志上的图来看,似乎还会有另一个学园中的角色出现。 经过漫长等待诸多猜测之后,续篇中将迎来怎样的结局,的确让人期待。 日本也将从明年1月6日开始重播第一季。 应该在08年4月左右就有第2季..期待吧....!!
发表评论