某些在电脑硬盘上不留痕迹的攻击可能会被发现,使用一种新工具将会在下周拉斯维加斯的黑帽会议上演示。
Mandiant的研究人员将提供一种方法,将攻击者仅在内存中运行的有效载荷可能进行的恶意活动拼凑在一起,从而避开攻击传统磁盘取证研究人员说。
更酷的东西从黑帽子:如何使用电源插座和便宜的激光来窃取数据和SSL黑客漏洞的详细信息将出现
具体来说,由Mandiant公司的Peter Silberman和Steve Davis提供的内存取证工具可以发现通过Meterpreter可能执行的活动的记忆痕迹,Meterpreter是一个开源的Metasploit渗透测试框架软件模块。
Meterpreter可以被注入到受害者计算机上合法运行的进程中,从而避免被发现由主机id /IPS软件。研究人员说,米计可以用作进一步攻击的平台。
攻击场景可以有效地访问受害机器上的关键进程。戴维斯说:“这是一个很好的方法,它使得在一个系统中很难看到东西。”通过米计,攻击者可以记录击键、结束进程、上传和下载文件,并以其他方式危及计算机。
研究人员说,使用Mandiant商业Memoryze内存取证软件的一个改编版本,他们可以解析Windows中的虚拟地址描述符文件。这个工具查找Meterpreter用来与它的服务器对话的协议的包结构。根据这些恢复的通信碎片,分析人员可以推断出发生了什么攻击。例如,他们说,有证据表明丢弃的哈希值可能表明密码被泄露了。
“我们详细描述了Meterpeter是如何在内存中操作的,特别是当Meterpreter脚本/命令被执行时,以及这些脚本在被利用进程的内存空间中创建的残留物,”研究人员在他们谈话的摘要中说。
西尔伯曼和戴维斯表示,由于数据易变,该工具不能100%恢复米特preter的活动,但这是一个可能被改进的概念验证。他们希望其他研究人员也能参与进来,帮助开发更多的工具来帮助记忆取证。
传统的攻击将恶意进程插入到计算机磁盘上,使其受制于传统的磁盘取证,但这些传统方法不能揭示那些避免使用磁盘空间的攻击。
西尔伯曼和戴维斯说,他们不知道有任何与他们计划展示的工具相似的工具。