[[173146]]

高級(jí)持續(xù)性威脅(APT)團(tuán)伙Platinum一直濫用Windows的熱修復(fù)功能來(lái)攻擊南亞和東南亞的政府組織和機(jī)構(gòu)。這個(gè)APT團(tuán)伙利用這個(gè)功能(Windows Server 2003中推出)將惡意代碼注入到正在運(yùn)行的進(jìn)程中。那么，這些熱修復(fù)攻擊的工作原理是什么，我們應(yīng)該如何應(yīng)對(duì)?

Nick Lewis：高級(jí)持續(xù)性威脅(APT)團(tuán)伙歷來(lái)喜歡利用零日漏洞和內(nèi)置工具作為其攻擊手段。熱修復(fù)是Windows 2003中推出的安全功能之一。Windows Defender高級(jí)威脅狩獵隊(duì)檢測(cè)到名為Platinum的APT團(tuán)伙正在利用這個(gè)功能，當(dāng)熱修復(fù)不起作用時(shí)，他們似乎還可使用其他技術(shù)來(lái)注入惡意代碼。

Windows熱修復(fù)是微軟為了減少服務(wù)器需要重新啟動(dòng)次數(shù)推出的功能。它的工作原理是通過(guò)已修復(fù)的代碼在內(nèi)存運(yùn)行可執(zhí)行文件，以便使用已更新的代碼，替代存在漏洞的代碼。熱修復(fù)功能目前存在于Linux和UNIX以及Windows中。它用于確保高可用性，當(dāng)核心操作系統(tǒng)進(jìn)程需要修復(fù)時(shí)，不需要重新啟動(dòng)系統(tǒng)。由于操作系統(tǒng)會(huì)被修改，熱修復(fù)需要作為管理員執(zhí)行這些操作，但攻擊團(tuán)伙發(fā)現(xiàn)一種方法利用熱修復(fù)隱藏他們的攻擊。

企業(yè)可通過(guò)保護(hù)核心操作系統(tǒng)安全以及管理員訪問(wèn)權(quán)限來(lái)抵御熱修復(fù)攻擊，例如Platinum團(tuán)伙的攻擊。Windows 2012還沒(méi)有被報(bào)告包含不安全的熱修復(fù)功能，所以更新服務(wù)器到新版本可能是不錯(cuò)的選擇。當(dāng)對(duì)服務(wù)器的初步檢查沒(méi)有發(fā)現(xiàn)攻擊指標(biāo)時(shí)，針對(duì)APT的標(biāo)準(zhǔn)網(wǎng)絡(luò)監(jiān)控也可幫助發(fā)現(xiàn)受感染的服務(wù)器，同時(shí)，還有必要部署分層防御--包括監(jiān)控網(wǎng)絡(luò)。