LightBasin 是一個專門針對銀行和金融機構的高級網路犯罪集團,以其精湛的反鑑識技術著稱,其中一項關鍵技術就是利用 tmpfs 檔案系統來隱藏惡意活動。
tmpfs 是一種基於記憶體的檔案系統,與傳統將數據儲存在硬碟上的檔案系統不同,tmpfs 將資料儲存在 RAM 中。這意味著,當系統重新啟動時,儲存在 tmpfs 上的所有資料都會被清除,不留下任何永久性的痕跡。LightBasin 正是利用了這個特性,將惡意程式、工具以及竊取的敏感數據儲存在 tmpfs 中,以避免在硬碟上留下可供鑑識的證據,從而躲避追蹤。
LightBasin 會將惡意程式碼儲存在 tmpfs 中,避免在硬碟上留下檔案,使基於檔案掃描的防毒軟體和入侵偵測系統難以發現。在資料竊取時,他們會將竊取的敏感數據暫時儲存在 tmpfs 中,傳輸完成後清除,以避免數據洩露的痕跡。此外,LightBasin 也可能使用一些臨時性工具輔助攻擊,這些工具同樣儲存在 tmpfs 中,執行完畢後清除,不留下不必要的痕跡。
LightBasin 使用 tmpfs 隱藏惡意活動,對網路安全防禦帶來極大挑戰。傳統基於檔案掃描的防禦手段難以有效偵測。因此,安全團隊需採用更先進的偵測技術,如監控系統異常行為,執行不明進程或異常網路流量等,即使惡意程式碼隱藏在 tmpfs 中,其行為仍可能被偵測到。定期對系統記憶體進行鑑識,以發現隱藏在 tmpfs 中的惡意程式碼和數據。加強對系統日誌的分析,查找與 tmpfs 相關的可疑操作,如大量檔案的建立和刪除等。通過綜合運用這些技術,安全團隊可更有效地應對 LightBasin 等高級網路犯罪集團的攻擊。
This is a simplified version of the page. Some interactive features are only available in the full version.
本頁為精簡版,部分互動功能僅限完整版使用。
👉 View Full Version | 前往完整版內容