| 简而言之 |
|
J-Magic:最近在VPN世界中发现了一个阴险的数字威胁。研究人员揭示了这个恶意软件在杜松网络Junos OS操作系统下经营的数十家公司中找到了避难所。该后门的尖端在于其被动代理,直到收到“魔术包”之前,它一直处于休眠状态。
这种巧妙的方法不仅使他能够看不见检测软件,还可以保护自己免受未经授权的访问。该技术虽然复杂,但它表明了网络生物发展到更多谨慎和复杂的形式,强调了不断改善我们的数字防御能力的需求。
“魔术包”的秘密
这魔术包是J-Magic后门有效性的核心。与传统方法不同,恶意软件可以打开特定端口以聆听传入的连接,J-Magic使用了一种更微妙的方法。恶意软件倾听所有传入的流量,并正在寻找满足特定条件的特定数据。此方法提供了无与伦比的酌处权通过避免引起定期仔细检查开放端口以识别可能感染的网络防御者的注意。
这些包装的功能是基于使检测困难的黑暗条件。例如,恶意软件分析软件包,以将两个字节的序列定位为TCP选项中的精确差距。然后,他检查了TCP选项的大小,TCP标头序列中攻击者的IP地址以及必须为443的目标端口。这些条件虽然复杂,但允许后门隐藏在合法网络流量中。
一旦检测到魔术软件包,J-Magic就会执行额外的步骤来保证安全性。后门使用公共RSA键以加密文本的形式发送挑战。只有一个带有相应秘密密钥的实体才能正确响应这一挑战,从而阻止其他攻击者享受故障。这种挑战机制可确保只有启动才能进入被盗的门,从而增加了一个安全层。
对记忆的威胁
后门J-Magic还以仅驻留在记忆中的能力而出名,这种特征使其对防守者的检测更加困难。确实,内存中的恶意软件并没有写出有关硬盘驱动器的任何内容,因此可以通过更复杂的传统防病毒软件进行识别。这种特殊性促使Lumin Technology的Black Lotus Lab的研究人员对此现象非常感兴趣。
研究人员得益于Virustotal平台发现了J-Magic,他们确定该恶意软件渗透到了36个组织的网络。但是,关于最初安装后门的方式,这个谜仍然存在。 J-Magic完全留在记忆中的能力是一项了不起的壮举,这需要对当前的防御方法进行深入分析以应对此类威胁。
J-Magic的方法结合了Janos OS路由器的特定靶向靶向记忆中的被动剂,代表了网络安全领域中高级技术的汇合。这清楚地说明了网络人的演变,其中技术创新与攻击者的领域一样多。
触发条件
J-Magic是基于五个特定条件来触发其动作的条件,每个条件旨在融合到普通的网络流量中。这些条件是足够晦涩的,无法被网络的防御产品检测到,同时不寻常,以至于无法处于正常流量。
例如,条件要求在特定差异中,TCP选项中存在两个字节的精确序列。另一个条件要求TCP标头的源端口包含一个定义的序列。仔细地制定这些条件,以确保只有故意的包装可以激活后门。
这些复杂条件的使用允许J-Magic在没有被发现的情况下进行操作,同时确保只有知道这些条件的恶意行为者才能利用故障。这加强了这样一种观念,即现代网络攻击越来越复杂,使用先进的技术绕过传统的防御系统。
历史和含义
在网络攻击世界中,魔术包的概念并不是什么新鲜事物。威胁行为者,尤其是与国家相关的行为者,使用类似的方法感到惊讶。例如,过去的竞选活动已被授予在中国政府工作的团体。这些技术也用于根源中,以感染图形处理单元(GPU)。
J-Magic代理是CD00R的变体,CD00R是2000年首次发布的概念验证,并于2014年更新。该软件旨在测试完全不可见的后门服务器的想法。那一年,安全研究人员发现,Turla集团在自己的个性化后门中实施了CD00R代理。
那些捍卫网络的人必须意识到这些威胁和攻击技术的演变。了解历史和攻击方法可以通过调整防御策略来应对网络的新现实来更好地准备应对这些未来威胁。
一个不确定的未来
▶
黑莲花实验室(Black Lotus Labs)确定,从2023年中期到至少2024年中,J-Magic运动已经活跃。目标来自各个部门,包括半导体,能源,制造和信息技术。该信息强调了持续保持警惕的重要性和所有部门安全措施的持续适应。
J-Magic在长时间保持活跃的情况下而没有被检测到的能力表明,弹性威胁如何具有弹性和难以消除。公司必须为日益复杂的攻击和威胁做准备,这些攻击和威胁不断发展以规避现有的防御能力。
公司如何适应这个新现实,威胁比以往任何时候都更加复杂和难以捉摸?答案也许在于高级技术,积极的监视和世界各地网络安全专家之间的合作。
你喜欢它吗?4.6/5(26)
