:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheitswerkzeug oder Angriffs-Tool? Nutzen und Manipulationsgefahr von Grey Hat Tools
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Gut und Böse liegen manchmal nah beieinander. Sicherheitsexperten nutzen Grey-Hat-Werkzeuge zur Überprüfung von Computern und Netzwerken. Doch auch Cyberkriminelle schätzen diese wirkungsvollen Instrumente –Beispiele einer missbräuchlichen Nutzung sind etwa MegaCortex- und Snatch-Ransomware.
In den meisten Bereichen des Lebens existiert zwischen Schwarz und Weiß auch noch ein Graubereich. Und so gibt es auch bei der Malware-Erkennung eine Grauzone, die etwa Hacking-Tools, schlecht gestaltete oder leicht ausnutzbare Anwendungen oder auch fragwürdige Adware umfasst. Zahlreiche Apps, die in diese Grauzone fallen, schädigen nicht direkt System oder Anwender, aber allein die Gegenwart dieser Dateien auf einem Computer kann den gesamten Sicherheitszustand schwächen. Das wiederum vermag andere Attacken zu erleichtern. Einige Tools öffnen zusätzliche Kommunikationswege, beinhalten ungewollte Hintertüren oder machen es Übeltätern schlichtweg einfacher, Module von nicht vertrauenswürdigen Quellen herunterzuladen und auszuführen, oder sogar neue ausnutzbare Software-Fehler einzubauen.
Normalerweise warnt Anti-Viren-Software den Nutzer, wenn sie Dateien entdeckt, die in diese Grauzone fallen, also nicht per se Schadsoftware sind, aber dieser nutzen können. Manchmal lässt die Sicherheitssoftware auch zu, dass man die Erkennung unterdrückt, wenn ein Administrator das damit verbundene Risiko für akzeptabel hält.
:quality(80)/p7i.vogel.de/wcms/8c/ac/8cac73858dc3e0a92d16b3a3dc2ff90f/83560637.jpeg "Mit der Integration von kali Linux in das Windows-Subsystem für Linux (WSL) können Admins einfacher die Sicherheit in modernen Microsoft-Netzwerken testen. (Bild: Offensive Security)")
Video-Tipp: Kali Linux und das WSL
Kali Linux direkt in Windows 10 einbinden
Was sind Grey Hat Tools?
Grey Hat Tools sind Software-Kits, die oft von Penetration-Testern oder so genannten Red Teams genutzt werden, um Attacken mit gutartigen Payloads zu erzeugen und so die Sicherheit von Computer und Netzwerk zu testen.
Die Mehrheit der Grey-Hat-Werkzeuge versucht, Payloads einer bestimmten ausführbaren Datei, eines Shellcodes oder eine Skriptsprache zu verschleiern, um der Erkennung durch Antiviren-Software zu entgehen. Andere Grey-Hat-Tools können Bibliotheken mit gängigen Exploit-Techniken, Keylogging, Anti-Debugging-Techniken oder Code zur Erkennung einer Sandbox, virtuellen Umgebung oder Befehlsemulation bereitstellen. Einige Tools helfen lediglich bei der Erleichterung der Kommunikation mit einem Command -and-Control-Server (C2), indem sie ein Framework für die Client-Server-Kommunikation mit einem bestimmten Angriffsziel bieten.
Die meisten dieser Kits sind frei erhältlich und werden auf Community Source Control Repositories wie GitHub und SourceForge veröffentlicht. Andere sind kommerziell erhältlich und werden von professionellen Pentestern zur Durchführung von Sicherheitsaudits angeboten. Diese Art von Tools haben oft einen Haftungsausschluss, wie die Software zum Testen von Computer- oder Netzwerk-Sicherheit zu nutzen ist. Und zwar von jemanden, der für diese Aufgabe vom PC- oder Netzwerk-Besitzer beauftragt ist. Die Entwickler der Tools übernehmen keine Verantwortung für jegliche unrechtmäßige Nutzung ihrer Komponenten.
Kriminelle verwenden ebenfalls Grey Hat Tools
Diese Kits werden auch von Cyberkriminellen eingesetzt, um Schadsoftware zu entwickeln oder zu aktivieren. Während eine große Menge an mittelmäßiger Malware diese Grey-Hat-Produkte unverändert nutzt – Fachterminus „out of the box“ – gibt es auch kreative Entwickler, die die bestehenden Tools modifizieren, um ihre Fähigkeiten zu erweitern oder es für Sicherheitssoftware noch schwieriger zu machen, diese zu entdecken.
Diese Art von (kriminellen) Nutzern scheren sich wenig um die verschiedenen Lizenzvereinbarungen, Rechte an geistigem Eigentum oder die oben genannten Vorgaben der Tool-Entwickler zum bestimmungsgemäßen Gebrauch.
Es ist sehr wichtig, dass Sicherheitslösungen die Systeme vor Angriffen schützen, die diese Tools ermöglichen, denn sie werden in einer Vielzahl von Attacken verwendet. Zunehmend wichtig für Sicherheitsprodukte ist auch, nicht nur die spezifische Attacke zu identifizieren, die vom originalen Tool-Kit verwendet wird, sondern auch eine umfassende Erkennung zu entwickeln, die die in der Angriffskette verwendeten Methoden oder Techniken generisch identifizieren kann. Auf diese Weise kann ein Analyst einen Weg finden, die Variationen der Methoden zu erkennen, die unweigerlich folgen, sobald Kriminelle beginnen, ein bestimmtes Werkzeug mit grauem Hut zu benutzen.
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400474/original.jpg "Kali Linux ist vollgestopft mit Hacking-Tools, perfekt für IT-Experten und Pentester. In dem vierteiligen Workshop zeigen wir, welche Möglichkeiten Kali bietet. Mit den Pfeiltasten (← / →) oder den Schaltflächen oben können Sie durch die Sammlung navigieren.")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400475/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 1</big><br> <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Kali Linux installieren und Hacking-Lab aufsetzen</strong></big></big></a><br> Angehende Sicherheitsexperten, Pentester und IT-Verantwortliche finden in Kali eine umfangreiche Plattform, um digitale Attacken zu planen und durchzuführen. Warum sollte man dies tun? Zum einen um sich mit potentiellen Angriffen auf die eigenen Systeme auseinanderzusetzen und zum zweiten um interne oder externe Schwachstellentests besser zu verstehen. Im ersten Teil dieses Workshops stellen wir Kali genauer vor und erklären, wie sich ein Hacking-Lab aufzusetzen lässt. <a href=\"https://www.security-insider.de/kali-linux-installieren-und-hacking-lab-aufsetzen-a-705017/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400476/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 2</big><br> <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Informationen sammeln mit Kali Linux</strong></big></big></a><br> Kali Linux bietet Sicherheitsexperten, Pentestern und neugierigen Nutzern eine umfangreiche Sammlung an Werkzeugen. Das kann auf den ersten Blick etwas zu viel sein. Unsere Artikelserie stellt sinnvolle Tools vor – im zweiten Teil des Workshops dreht sich alles um das Thema Informationen übers Netzwerk sammeln. <a href=\"https://www.security-insider.de/informationen-sammeln-mit-kali-linux-a-706452/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
:quality(80)/images.vogel.de/vogelonline/bdb/1400400/1400477/original.jpg "<p style=\"line-height: 1.5\"><big>Kali Linux Workshop - Teil 3</big><br> <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\" style=\"color:white\"><big><big><strong>Schwachstellenanalyse mit Kali Linux</strong></big></big></a><br> Kali Linux eignet sich ideal, um Server auf Schwachstellen zu überprüfen. Die Linux-Distribution bringt alle notwendigen Applikationen mit, um eigene Server auf potentielle Angriffsmöglichkeiten hin zu checken. Im dritten Teil des Workshops stellen wir einige Tools vor, die einfach zu nutzen sind und relevante Informationen liefern. <a href=\"https://www.security-insider.de/schwachstellenanalyse-mit-kali-linux-a-706468/\" target=\"_blank\">>>> Zum Artikel <<<</a></p>")
Kernelemente von Grey Hat Tools
Die Mehrheit der Grey Hat Tools verwendet eine der wenigen Kernwerkzeuge, um den initialen Shellcode, die Payloads oder die Komponente zu generieren, die dann von einem sekundären Werkzeug weiterverwendet werden Dies führt zu einer Abhängigkeitskette, in der Werkzeug A eine Voraussetzung für Werkzeug B ist.
Einige Grey Hat Tools installieren eine gesamte Reihe anderer Grey-Hat-Werkzeuge, um verschiedene Methoden zu verknüpfen oder unterschiedliche Typen von Code-Verschleierung zu schichten. Diese gängigen erforderlichen Komponenten nennen wir Core Tools.
Das nebenstehende Diagramm zeigt die von den SophosLabs beobachteten drei beliebtesten Core Tools und den Prozentsatz der Core-Tool-Erkennungen in Kundenumgebungen, die Signatur-Elemente enthalten, die mit diesem Tool erzeugt wurden oder von diesem Tool inspiriert wurden.
Metasploit
Von den Kernwerkzeugen sind Komponenten, die als Teil des Metasploit-Frameworks entstanden sind, das bei weitem häufigste Werkzeug im Grey Hat Werkzeugkasten. In in 73 Prozent der Fälle, in denen wir bei einer Infektion die Verwendung Art von Grey Hat Tools entdeckt und verboten haben, kam es zum Einsatz.
Die Gründe für die Beliebtheit sind:
- Es ist frei erhältlich, und vorinstalliert in Kali Linux Distributionen.
- Es beinhaltet SDK ähnliche Komponenten (MSFVenom), die von anderen Werkzeugen aufgerufen werden können, um die Generierung von angepasstem Shellcode zu erleichtern.
- Es enthält eine modulare Meterpreter-Komponente, die in andere Tools gepackt werden kann und es Angreifern ermöglicht, Metasploit selbst als C2-Server zu verwenden.
Cobalt Strike
Cobalt Strike ist das drittliebste Core Tool mit vielen ähnlichen Funktionen wie Metasploit. Wir haben Cobalts Komponenten in echter Schadsoftware angetroffen, aber da es keine open source ist und nur an die Pentester-Community direkt verkauft wird, ist es wahrscheinlich schwieriger für die Grey Hat Anbieter, seine Komponenten in Derivaten zu verwenden.
Ein Beispiel für eine Cobalt-Komponenten Attacke ist die MegaCortex Ransomware, die ein Beacon enthält, das zur Rückverbindung mit einem Cobalt-Strike-Server mit einer Reverse-Shell verwendet wird. Diese Art von Reverse Shell Verbindung zum angegriffenen System sind bei vielen Grey Hat Tools üblich. Angreifer nutzen die Fähigkeit des Tools, in Situationen, in denen sich das Ziel hinter NAT-Gateways und Firewalls befindet (was, um fair zu sein, die meisten von ihnen sind), aus der Ferne auf ein System zuzugreifen. Diese Verbindung kann auch mit nur einem kleinen Block Shellcode (oft weniger als 100 Bytes groß) hergestellt werden.
Die Snatch-Ransomware ist ein anderes Beispiel, bei dem Schadsoftware eine Grey Hat Tool Komponente in einer bösartigen Attacke verwendet. Wie MegaCortex verwendet auch Snatch Cobalt Strike, um eine Reverse-Shell-Verbindung zum Zielsystem zu ermöglichen. Sobald die Reverse-Shell-Verbindung wieder mit einem Cobalt-Strike-Hörer verbunden ist, kann der Angreifer Cobalt Strike verwenden, um das infizierte System fernzusteuern.
PowerShell Empire
Wir betrachten PowerShell Empire als ein Kernwerkzeug, da es die Quelle vieler bösartiger PowerShell-Skripttechniken ist, die in anderen Grey Hat Tools verwendet werden.
PowerShell Empire wird nicht unbedingt in der gleichen Weise wie viele der anderen Tools verwendet. Das Angriffsframework enthält eine große Sammlung von Vorlagenmethoden, die kopiert und in anderen Tools verwendet werden. Auch wenn PowerShell Empire nicht der ursprüngliche Ursprung für alle darin enthaltenen Skriptquellen gewesen sein mag, betrachten wir es aufgrund seiner Beliebtheit in den Communities dennoch als ein Kernwerkzeug.
:quality(80)/images.vogel.de/vogelonline/bdb/1683600/1683633/original.jpg "Metasploitable ist ein absichtlich verwundbares Windows- oder Linux-System, auf dem angreifbare Dienste laufen. Damit können Sicherheitsexperten digitale Angriffe nachvollziehen. (Gorodenkoff - stock.adobe.com)")
Verwundbare VM für Security-Tests
Metasploitable als Security-Testumgebung
Zweite Ebene und weniger beliebte Grey Hat Tools
Viele Grey Hat Tools nutzen Payloads oder Listeners von den oben genannten Kernwerkzeugen. Werkzeuge für die Sekundärstufe enthalten oft Shellcode oder andere Komponenten, die von einem der Core Tools generiert wurden, fügen aber weitere Schichten der Verschleierung oder Funktionalität hinzu.
Es ist wichtig zu beachten, dass Angreifer in einigen Fällen mehr als ein Werkzeug verwenden. Dies kann zu einigen Ungenauigkeiten bei der Nachverfolgung führen, da wir das Muster nur mit den Bausatzmerkmalen in Verbindung bringen, die in der letzten Verarbeitungsebene in der Baukastenkette verwendet wurden.
Es ist oft schwierig zu bestimmen, wie viel Prozent der Entdeckungen interne Sicherheitsaudits sind und wie viel Prozent der Entdeckungen ein böswilliger Angriff in diesen Zahlen ausmacht. Wenn wir uns die Entdeckungen im Laufe der Zeit ansehen, sehen wir, dass die Audits in unmittelbarer Nähe, mit den gleichen Werkzeugen und in der gleichen Netzwerk- oder Kundenumgebung durchgeführt werden.
Häufig können signifikante Spitzen in den Entdeckungen auf die Durchführung von Audits durch Penetrationstester hinweisen. Dies kann jedoch von Toolkit zu Toolkit variieren. Einige sind in der Gemeinschaft der Malware-Autoren beliebter, während andere bei den Red Teams beliebter sind.
Fazit
Die Verwendung des Grey Hat Tools in den Pentestern-Communities und die Anpassungen dieser Tools, wie sie bei Malware verwendet werden, zu verstehen, hilft maßgeblich dabei, Trends in der Bedrohungslandschaft besser zu verstehen. Es hilft uns auch, besser vorherzusagen, welche neuen Methoden und Payloads in Zukunft wahrscheinlich beliebt sein werden.
Wir gehen auch für die nahe Zukunft davon aus, dass der Einsatz von Techniken zur Umgehung von Powershell weiterhin beliebt sein wird, ebenso wie der Einsatz von WMI und anderen unkonventionellen Methoden zum Erreichen von Persistenz. Wir erwarten auch neue und verbesserte Methoden zur Kodierung von Shellcode Payloads sowie Versuche, der In-Memory-Erkennung der verschiedenen C2-Call-back Agents zu entgehen.
Über den Autor: Michael Veit ist Technology Evangelist bei Sophos.
(ID:46849908)
:quality(80)/images.vogel.de/vogelonline/bdb/1932300/1932310/original.jpg "Cyberkriminelle erweitern ihren Aktionsradius drastisch und fügen ihrem Angriffswerkzeugkasten Malware hinzu, die auf Linux-basierte Betriebssysteme abzielt. (Alexander Limbach - adobe.stock.com)")