回复聊聊科技事:黑客滥用工具危险
聊聊科技事
下载贤集网APP入驻自媒体
思科Talos安全团队近期发布报告,揭示黑客正在滥用红队演练工具MacroPack传播各种恶意软件。这些恶意文件被用来部署多种危险的有效载荷,包括Havoc和Brute Ratel后期利用框架,以及一种新型的PhantomCore远程访问木马(RAT)变种。MacroPack原本是一款设计用于红队渗透测试的工具,能够快速生成多种有效载荷并转换为不同文件格式。 MacroPack生成的代码具有多种特征,可以绕过反恶意软件的检测,如函数和变量重命名、去除多余空格和注释、有效载荷混淆等。MacroPack对免费版本无使用限制,因此被攻击者滥用。报告显示,今年5月至7月,多个可疑的微软文档被上传至VirusTotal病毒扫描平台。这些文档均由MacroPack有效载荷生成框架的某个版本制作而成。 这些恶意文件的上传者来自中国、巴基斯坦、俄罗斯和美国等多个国家,表明该工具已被广泛滥用。分析发现,所有被检查的文档中都包含四个此前未见过的非恶意子例程。研究人员推测,加入这些良性代码可能是为了降低MacroPack生成代码的可疑性,从而更容易绕过反恶意软件工具的检测。
