StormCloud 威胁组织使用受感染的互联网服务提供商 (ISP) 来分发欺骗软件更新的恶意软件。
攻击者利用了一个易受攻击的HTTP软件系统,该系统无法对数字签名进行身份验证。DNS 欺骗活动影响了 Windows 和 macOS 设备。
这次攻击解释了
一旦黑客入侵了互联网服务提供商,他们就可以访问客户的DNS请求。
使用 VPN 和基于 HTTP 的 DNS 是防止 DNS 泄漏的安全最佳实践。DNS泄漏很危险,因为它们会影响互联网用户的隐私,并可能将他们的DNS查询和浏览模式暴露给恶意行为者。
StormCloud 的 DNS 劫持攻击使威胁行为者能够访问和破坏 DNS 记录。受害者没有访问合法的更新服务器来下载他们需要的更新,而是被定向到恶意 IP 地址。
根据 BleepingComputer 的说法,攻击者在目标的计算机上安装了 MacMa 和 MGBot 恶意软件。
MacMa 是一个 macOS 后门,旨在控制和泄露文件。此外,MacMa 恶意软件可以录制音频、运行 shell 命令并使用 bash 脚本。
如何安全应用更新并避免 DNS 中毒攻击
StormCloud 对 ISP 的攻击以毒害 DNS 查询凸显了为什么使用多层防御策略很重要。修补是一项冗余且耗时的任务,在某些情况下,IT 团队很容易走捷径。
补丁管理过程应始终包括测试阶段。像 Heimdal 这样的自动化补丁管理解决方案可以满足这一点。网络安全社区负责人 Andrei Hinodache 解释说:
从供应商处获得第三方应用程序更新后,在部署补丁之前,将测试补丁是否存在恶意软件和后门程序。如果更新中毒,或者连接可疑,Heimdal 的修补过程将检测到它。
操作系统更新直接通过系统和操作系统提供商之间的安全内置通道进行隧道传输。
此外,使用 DNS 过滤工具可以检测并阻止与 C2 服务器的恶意通信。
如果用户尝试自己安装更新(他们应该无法做到,但为了示例的缘故,让我们接受这个假设),并且组织已经制定了 DNS 安全解决方案,DNS 安全引擎将检测恶意流量模式并触发警报。
发表评论
您还未登录,请先登录。
登录