LabRat 惡意軟件可能逃避檢測
最近發現的一種名為 LabRat 的惡意軟件菌株由於其隱藏在傳統安全措施之外的非凡能力而引起了網絡安全界的擔憂。安全供應商 Sysdig 報告稱,其威脅研究團隊 (TRT) 發現了 LabRat,該軟件似乎竭盡全力在不被發現的情況下進行操作。據 Sysdig 稱,與 TRT 觀察到的許多其他網絡攻擊相比,LabRat 的策略表現出更高水平的複雜性。
與一些不優先考慮隱秘性的攻擊者不同,LabRat 的創建者精心設計了他們的操作,以盡量減少被發現的機會。這種額外的努力使防御者難以有效地識別和響應威脅。
LabRat 主要參與加密貨幣劫持和代理劫持活動。在加密劫持中,它秘密地使用受害者的計算機為攻擊者挖掘加密貨幣,而在代理劫持中,受害者的計算機註冊到點對點帶寬共享網絡中,使攻擊者受益。 LabRat 的攻擊媒介涉及利用 GitLab 服務器中的已知漏洞 (CVE-2021-2205),允許攻擊者實現遠程代碼執行並將有效負載部署到易受攻擊的系統上。
LabRat 的與眾不同之處在於其代碼的混淆程度。此外,使用 TryCloudFlare 服務路由流量進一步掩蓋了攻擊者在受感染系統上的存在。 Sysdig 威脅研究總監 Michael Clark 指出,LabRat 的重度加密和反逆向工程技術使其無法被 VirusTotal (VT) 檢測到,這非常不尋常。
LabRat 惡意軟件防禦
LabRat 組織似乎非常積極地保護其代碼免受白帽研究人員的分析,他們廣泛的混淆工作就證明了這一點。他們的主要目標是盡可能長時間地保持對受感染系統的訪問,以從代理劫持和加密貨幣挖礦中獲利。時間至關重要,尤其是在代理劫持中,不可歸因網絡的有效性取決於節點的數量。如果網絡變得太小,它可能會被阻塞並變得無用。
Sysdig 建議管理員針對此類攻擊的最佳防禦措施是及早發現。擁有最新且功能強大的監控工具可以幫助在早期階段識別攻擊,防止它們紮根並部署反防禦工具。在攻擊者變得越來越複雜的網絡環境中,早期檢測仍然是有效網絡安全的關鍵組成部分。