iT邦幫忙

2024 iThome 鐵人賽

DAY 29
0

金盾獎初賽在昨天順利結束啦!其實賽前還有點擔心,擔心人走進去又走出來什麼都不會。不過意外有一定比例的題目是能夠解的,好感動TT!隊友在這場比賽幫助很多,是一次很新鮮的參賽體驗。那今天來簡單看一下當時見到的新鮮名詞,對我來說,還需要多加學習認識這些。

Watering hole

稱作「水坑攻擊」,是一種網路攻擊技術,攻擊者針對特定目標群體,找出他們經常瀏覽的網站,並在這些網站植入惡意程式碼。當受害者造訪已被感染的網站時,惡意軟體會自動下載並安裝至受害者的系統中,攻擊者得以竊取敏感資料、遠端操控系統,或是在系統中植入後門。攻擊的常見步驟如下:

  1. 偵察目標:攻擊者先進行偵察,了解目標群體常造訪的網站。
  2. 感染網站:攻擊者利用網站漏洞,在其中植入惡意程式碼或掛載惡意廣告。
  3. 受害者訪問:當目標群體的成員造訪已被感染的網站時,惡意軟體透過瀏覽器漏洞或社交工程自動下載至受害者裝置。
  4. 取得控制權:攻擊者利用安裝的惡意軟體來竊取機密資料、進行監視,或是在系統中植入後門以保持長期控制。

Watering hole
Watering hole-2

DNS Fast Flux

DNS Fast Flux 是一種網路攻擊技術,通常與惡意軟體、網路犯罪活動或僵屍網路(botnet)有關。其核心概念是透過快速變更域名的IP地址來隱藏攻擊者的伺服器位置,讓惡意活動更加難以追蹤和取締。

在正常情況下,域名會對應到一個或少數幾個伺服器來處理請求。然而,使用 DNS Fast Flux 技術的攻擊者會頻繁地更換該域名的 IP 地址,有時甚至每隔幾秒鐘就更新一次。這使得每次查詢該域名時,DNS 系統可能會返回不同的 IP 地址,進而提高惡意活動的隱蔽性。

DNS Fast Flux 的運作方式:

  1. 快速更換IP地址:域名的 IP 地址持續更新,這些 IP 地址通常是由殭屍網路控制的受感染設備。每次查詢都可能獲得不同的IP地址,增加了追蹤和封鎖的難度。

  2. 利用受感染設備作為代理:這些快速更換的 IP 地址通常指向受感染的電腦(即殭屍機),它們充當代理來處理最終的請求,而實際的惡意伺服器則藏在這些代理後面,避免被直接偵測。

  3. 多層 Fast Flux 架構:有時攻擊者會使用多層 Fast Flux,進一步提升隱蔽性和攻擊韌性,透過雙重快速更換來分散攻擊伺服器位置。

什麼是 DNS Fast Flux?
Fast Flux: Definition, How it Works and How to Prevent It

DLL injection

DLL Injection(動態連結程式庫注入)是一種攻擊技術,攻擊者將一個惡意的動態連結程式庫(DLL)注入到目標程式的記憶體空間中,藉此干擾或控制該程序的行為。這種技術經常被惡意軟體、攻擊者用來進行持續的攻擊,如竊取資料、監控系統,或是在受害者的系統上安裝後門。常見的 DLL 注入方式:

  1. CreateRemoteThread:攻擊者使用此 API 在目標進程中創建一個新的執行緒,並強制其加載惡意DLL。

  2. Hooking:攻擊者通過 Windows API 鉤子機制,在目標應用程序中插入自己的 DLL 來攔截或修改系統調用。

  3. Reflective DLL Injection:允許惡意 DLL 在不進行磁碟寫入的情況下被載入目標進程,從而更加隱蔽。

DLL 注入
DLL 注入-2

今天的就到這邊,內文如有錯誤,還請不吝指教~


上一篇
Day28 - 金盾獎備賽(二)
下一篇
Day30 - 挑戰結束!
系列文
新手村預備,CTF 小菜雞跌跌撞撞的旅程30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言