LabRat 恶意软件可能逃避检测
最近发现的一种名为 LabRat 的恶意软件菌株由于其隐藏在传统安全措施之外的非凡能力而引起了网络安全界的担忧。安全供应商 Sysdig 报告称,其威胁研究团队 (TRT) 发现了 LabRat,该软件似乎竭尽全力在不被发现的情况下进行操作。据 Sysdig 称,与 TRT 观察到的许多其他网络攻击相比,LabRat 的策略表现出更高水平的复杂性。
与一些不优先考虑隐秘性的攻击者不同,LabRat 的创建者精心设计了他们的操作,以尽量减少被发现的机会。这种额外的努力使防御者难以有效地识别和响应威胁。
LabRat 主要参与加密货币劫持和代理劫持活动。在加密劫持中,它秘密地使用受害者的计算机为攻击者挖掘加密货币,而在代理劫持中,受害者的计算机注册到点对点带宽共享网络中,使攻击者受益。 LabRat 的攻击媒介涉及利用 GitLab 服务器中的已知漏洞 (CVE-2021-2205),允许攻击者实现远程代码执行并将有效负载部署到易受攻击的系统上。
LabRat 的与众不同之处在于其代码的混淆程度。此外,使用 TryCloudFlare 服务路由流量进一步掩盖了攻击者在受感染系统上的存在。 Sysdig 威胁研究总监 Michael Clark 指出,LabRat 的重度加密和反逆向工程技术使其无法被 VirusTotal (VT) 检测到,这非常不寻常。
LabRat 恶意软件防御
LabRat 组织似乎非常积极地保护其代码免受白帽研究人员的分析,他们广泛的混淆工作就证明了这一点。他们的主要目标是尽可能长时间地保持对受感染系统的访问,以从代理劫持和加密货币挖矿中获利。时间至关重要,尤其是在代理劫持中,不可归因网络的有效性取决于节点的数量。如果网络变得太小,它可能会被阻塞并变得无用。
Sysdig 建议管理员针对此类攻击的最佳防御措施是及早发现。拥有最新且功能强大的监控工具可以帮助在早期阶段识别攻击,防止它们扎根并部署反防御工具。在攻击者变得越来越复杂的网络环境中,早期检测仍然是有效网络安全的关键组成部分。