研究人员从物联网开发了一种独特的策略(IoT)即使采用混淆策略来阻止分析,设备的电磁场发射也是旁路,以获取嵌入式系统各种恶意软件的准确信息。
使用旁类似恶意软件的可疑行为时,使用旁道数据检测不同于以前已知模式的异常发射,并触发报警,与系统的正常情况相反。这不仅不需要改变目标设备,而且允许检测和分类隐藏的恶意软件,如核心级别rootkit、勒索软件和分布式拒绝服务(DDoS)僵尸网络,比如Mirai,以及以前没见过的变体。
侧通道方法包括在执行30个不同恶意软件二进制文件和良性视频、音乐、图片和相机相关活动时测量电磁辐射,以训练卷积神经网络(CNN)该模型用于对现实世界中的恶意软件样本进行三个阶段的分类。特别是,该框架接受可执行文件作为输入,恶意软件标签仅基于侧通道数据。
研究人员使用Raspberry Pi 2B作为目标设备,它有900个MHz四核ARM CortexA7处理器和1GB使用示波器和内存PA 303 BNC在实验设置中,这三种恶意软件及其相关家族的准确性分别为99.82%和99.61%。
新闻来源:
https://thedigitalhacker.com/using-electromagnetic-emanations-to-spot-evasive-malware-on-iot-devices/
程序员、系统管理员、安全研究人员和技术爱好者将网页上的命令复制并粘贴到控制台或终端,他们被警告说他们的系统可能受到威胁。
技术专家演示了一个简单的技能,让你在复制和粘贴文本之前三思而后行。
安全意识培训平台Wizer创始人加布里埃尔·弗里德兰德(Gabriel Friedlander)显示了一个明显但令人惊讶的显示hack,它会让你对从网页上复制粘贴命令持谨慎态度。
但弗里德兰德警告说,网页可能会秘密替换剪贴板上的内容,最终复制到剪贴板上的内容与您计划复制的内容大不相同。
更糟糕的是,如果没有必要的尽职调查,开发人员可能只有在粘贴文本后才意识到自己的错误,可能已经太晚了。
一位Reddit用户还显示了一个不需要的用户JavaScript替代技能示例:当您复制文本的可见部分时,使用它HTML和CSS样式制作的不可见文本将被复制到剪贴板上。
问题不仅在于网站可以使用JavaScript更改剪贴板的内容。它还可以隐藏HTML电脑会复制中人眼看不见的命令。
新闻来源:
https://www.bleepingcomputer.com/news/security/dont-copy-paste-commands-from-webpages-you-can-get-hacked/
Telegram基于感染系统的新闻传息传递应用程序的木马安装程序Windows的Purple Fox后门。通过将攻击分成几个小文件,攻击者可以将大部分攻击逃避安全检测,其中大部分文件[防病毒]发动机检测率很低,最后阶段导致紫狐rootkit感染。
PurpleFox2018年首次首次被发现,rootkit该功能允许将恶意软件植入安全解决方案无法触及的范围,并避免检测。Guardicore2021年3月的一份报告详细介绍了其蠕虫传播功能,使后门传播得更快。2021年10月,趋势科技研究人员发现了一个名字FoxSocket的.NET植入物,它与Purple Fox一起部署,使用WebSockets联系其命令和控制(C2)服务器,建立更安全的通信方式。
2021年12月,趋势科技还揭示了紫狐感染链的后期阶段,通过插入恶意SQL当公共语言运行时(CLR)模块来瞄准SQL为了实现持久和隐执行和最终利用数据库SQL采矿服务器。
研究人员发现,大量恶意安装程序提供相同的攻击链Purple Fox rootkit版本,”Zargarov有些似乎是通过电子邮件发送的,我们认为有些是从在线钓鱼网站下载的。这种攻击的美妙之处在于,每个阶段都被分离到一个不同的文件中,如果没有整个文件集,它就没用了。
新闻来源:
https://thehackernews.com/2022/01/beware-of-fake-telegram-messenger-app.html
在12月之前,国家资助的网络犯罪攻击者在探测系统中Log4j“Log4Shell缺陷后,微软警告说Windows和Azure客户保持警惕。
Apache12月9日,软件基金会披露,Log4Shell由于错误日志软件组件在应用程序和服务中应用广泛,可能需要几年时间才能修复。
Microsoft警告说,客户可能不知道Log4j问题在他们的环境中有多普遍。CISA官员们认为,数亿设备受到影响Log4j影响。同时,思科和VMware主要技术供应商继续向受影响的产品发布补丁。
新闻来源:
https://www.zdnet.com/article/log4j-flaw-attacks-are-causing-lots-of-problems-microsoft-warns
CrowdStrike表示,CPU遥测技术正在进行中Falcon该平台提供新的硬件增强漏洞使用检测功能,并将有助于检测复杂的攻击技术。这些技术缺乏现代反漏洞使用缓解措施PC内存安全保护难以识别和扩展。
安装了新的检测技术CrowdStrike的Falcon传感器6.英特尔可用于27版CPU(第六代或更新版)Windows 10 RS4或更高版本的系统。
根据CrowdStike英特尔处理器跟踪安全工程师的说明 (Intel PT),这是一种CPU该功能可提供广泛的遥测技术,用于检测和防止代码重用漏洞。
英特尔PT性能诊断和分析通常用于记录处理器上的代码执行CrowdStrike利用遥测技术发现以前无法检测到的恶意活动迹象,已经找到了一种方法。
“英特尔PT允许CPU不断将当前执行代码的信息写入内存缓冲区,可用于重建精确的控制流。主要使用场景是在操作过程中跟踪可执行文件,将跟踪存储在磁盘上,然后分析它,以重现已执行的确切指令序列。该功能提供的程序行为可见性也可用于检测和调查安全漏洞,CrowdStrike解释说。
CrowdStrike在英特尔处理器跟踪的机器上,它表示Falcon传感器将使用执行跟踪选定的一组程序。每当程序执行关键系统服务(如创建新过程)时,传感器都会分析捕获跟踪,以找到可疑的操作。
CrowdStrike这意味着新方法已经被证明是有价值的,并且已经检测到几个基于返回的编程(ROP)利用链条漏洞。
CrowdStrike表示,通过捕获应用程序的执行跟踪,运行在核心中的安全软件现在可以通过分析捕获的跟踪数据包和应用程序地址空间中执行的指令来找到代码重用攻击。
新闻来源:
https://www.securityweek.com/crowdstrike-beefs-exploit-detection-intel-cpu-telemetry