过往骇客滥用防守方渗透测试工具的情况相当频繁,最常见的是Cobalt Strike,利用Brute Ratel C4(BRC4)的情况不时传出,但今年,出现骇客锁定红队演练工具的现象。
继上个月思科揭露防守方用来进行渗透测试及红队演练的工具,被骇客拿来从事网路攻击的现象,可说是越来越泛滥,其中最常见的是Cobalt Strike,利用Brute Ratel C4(BRC4)也有不少,但今年出现骇客采用其他工具的情况。
根据资安业者趋势科技的监控,有人利用名为EDRSilencer的红队演练工具从事攻击行动,此工具利用视窗作业系统内建的Windows筛选平台(Windows Filtering Platform,WFP),号称能干扰市面上16款常见的端点侦测与回应(EDR)系统运作。
究竟该红队演练工具如何运作?主要是借由动态识别的方式,找出正在执行的EDR处理程序,接著,攻击者建立WFP过滤器,以此封锁EDR系统的IPv4、IPv6对外流量,使得端点代理程式无法对主控台传送遥测资料及警示讯息。
针对这项漏洞出现的原因,该公司表示,应用程式借由网页框架WebMvc.fn或WebFlux.fn提供静态资源的过程中,容易受到路径穿越攻击,攻击者只要发送恶意HTTP请求,就有机会借由正在运作的Spring应用程式处理程序,取得档案系统的任意档案。
10月15日趋势科技针对旗下的资安防护设备Cloud Edge发布资安公告,指出该设备存在重大层级的命令注入漏洞CVE-2024-48904,影响执行5.6SP2、7.0版韧体的设备,CVSS风险评为9.8分,该公司已发布更新修补。
而对于该漏洞带来的影响,趋势科技表示,攻击者能够远端于设备上执行任意程式码(RCE),但除此之外并未对于漏洞形成的原因进一步说明。
其他漏洞与修补
【资安产业动态】
本周二(10月15日)Google宣布,已开始向Pixel装置部署Android 15。新一代作业系统强化防盗保护,并允许使用者建立私人应用程式区域(Private Space),存放具有敏感资料的应用程式。
该公司平均每年发布一次安卓大改版,并根据技术的演进添增新功能,例如近来即开始利用AI来强化防盗功能,包括Theft Detection Lock及Remote Lock等,并适用于大多数Android 10以上的装置。
至于Android 15提供了额外的防盗功能,会针对某些设定添增身分验证要求,例如要移除SIM卡或是关闭Find My Device功能时,也会在侦测到多次变更程式与设定的失败后直接锁定装置。
其他资安产业动态