Pastebin是最受欢迎的网站,用户可以在这里分享小段文本。今天,Pastebin增加了两项新功能,网络安全研究人员认为,这两项功能将被恶意软件操作员广泛滥用。
这两个新功能名为“读取后燃烧”和“密码保护的粘贴”,这两个新功能允许粘贴盒用户创建在一次读取后过期的粘贴(文本片段)或受密码保护的粘贴。
这两个功能都不是原创的,因为它们多年来一直出现在许多粘贴网站上。
然而,他们对Pastebin还是个新鲜事,到目前为止,Pastebin是当今最受欢迎的糕点门户网站,跻身于Alexa互联网上最受欢迎的2000个网站之列。
就像任何流行的东西一样,这也吸引了许多不良内容,这些内容已经被托管在该平台上。虽然有些人用它来托管他们想要与同事分享的代码片段或文本,但在过去的十年里,Pastebin也变成了事实上的恶意代码托管服务。
多年来,恶意软件作者使用Pastebin存储他们检索并在受感染的主机上运行的恶意命令、被黑客攻击的数据、恶意软件命令和控制服务器的IP地址,以及许多其他操作细节。
事件响应(IR)顾问泰德·塞缪尔(Ted Samuels)今天在接受“ZDNet”采访时表示,很难给巴斯特宾在恶意软件运营中的存在提供一个数字或百分比,但他表示,这种情况并不少见。
到目前为止,Pastebin是最多产的粘贴站点,也是使用PowerShell进行无文件攻击的相当受欢迎的平台。例如,威胁行为人的初始有效负载可能会使用PowerShell从pastebin.com下载额外的(通常是模糊的)内容,以便通过PowerShell进一步执行。多产的CobaltStrike框架可以这样加载。
多年来,为了对抗Pastebin在恶意软件开发人员中越来越受欢迎的趋势,网络安全公司开发了一些工具,一旦上传到网站上,就会抓取新的Pastebin条目,以搜索恶意或看起来敏感的内容。这些恶意粘贴在私人威胁英特尔数据库中编入索引,稍后用于事件响应,还会报告给巴斯特宾将其删除。
但现在,安全研究人员认为,通过今天添加这两个新功能,Pastebin阻碍了他们检测恶意软件操作的善意努力,并且更多地迎合了恶意软件人群,而不是实际用户和好人。
匹兹堡的安全研究员布莱恩告诉ZDNet,除非他们正在采取一些不是立竿见影的措施来防止使用阅读后燃烧和C2密码保护以及恶意软件升级,否则对于使用PasteBin达到这些目的的攻击者来说,这些似乎是非常有用的新功能。
我已经看到这将如何被威胁行为者滥用。这将使追踪这些威胁的难度提高100倍。巴斯特宾为谁工作?安全行为者还是威胁行为者?Https://t.co/wX088qpX7Z。
-杰克(@JCyberSec_)2020年9月25日。
但新功能不仅仅是实时检测上传到网站上的内容。它还影响感染后的IR调查。
Samuels告诉ZDNet,这一新的变化现在将使事件响应人员更难快速评估可能已在某些环境中下载和执行的内容。
但人们对巴斯特宾今天的两个新功能反应激烈,也是因为网络安全社区与该网站的关系不稳定。
多年来,安全研究人员经常指责其管理员在需要删除恶意粘贴时拖拖拉拉。今年早些时候,当巴斯特宾想要停止刮API时,事情变得非常激烈。抓取API是网络安全研究人员用来检测上传到巴斯特宾上的新内容的工具。
目前还不清楚帕斯特宾如何看待网络安全社区对其最新功能的最新反应,但该公司在一封电子邮件中表示,应用户的要求,它添加了阅读后燃烧和密码保护的粘贴。
该公司表示,Pastebin为我们的用户存储重要数据,从计算和工程数据开始,例如来自各种服务、机器人和网络设备的算法、日志,并以专有软件代码结尾。
由于用户的隐私权,我们已收到许多用户要求实施这些功能的请求,并帮助用户保护他们的工作。
Pastebin是由开发人员为开发人员创建的,在全球范围内有数百万人在使用。巴斯特宾说,当然,每个平台都有坏人试图占便宜,包括Github、Twitter、Facebook、Dropbox、Privnote&;Sendspace等等。
正如巴斯特宾指出的那样,网络安全研究人员可能也反应过度了,因为周围还有几十个像巴斯特宾这样的粘贴网站,与巴斯特宾相比,其中一些网站在允许在其平台上滥用方面甚至更为宽松。
当然,信息安全推特有些反应过度,而且不仅仅是巴斯特宾。有许多功能相似的粘贴网站,例如,";Samuels说。
让像Pastebin这样的网站对它们支持的功能负责是必要的,但这两个新功能也有合法的用途。如果巴斯特宾真的这么坏,那么几年前就应该采取其他行动了。
来自法国的安全研究员SwitHak告诉ZDNet,Pastebin和其他粘贴网站应该在公司网络内被屏蔽。
我们知道它是被坏人使用的。我们需要采取相应的行动。
我们知道这个媒介,让我们烧毁它,强迫攻击者使用他们自己的服务器。如果他们在自己的服务器上托管恶意软件配置,我们就可以烧毁攻击者的基础设施。这是为了让攻击者的攻击变得更加复杂,迫使他们在我们的领域内比赛,并增加成本,SwitHak补充道。
使安全研究人员更难跟踪威胁参与者,同时为威胁参与者提供额外的安全https://t.co/WAjkWFIhlq。
-CORE45(@CORE561)2020年9月25日。
然而,帕斯特宾表示,虽然这两个新功能可能会被滥用,但该公司也有帮助好人的功能。
今年早些时候,我们引入了新的企业API订阅,以便为我们的业务客户提供更好的数据订阅。
与全球网络安全公司合作,保护我们的网站,并丰富他们的产品和服务的数据。
与全球CERT(卢森堡计算机事件响应中心、加拿大网络安全中心、奥地利能源CERT)和执法机构合作。
在内部,由于涉及恶意内容,我们与上述组织合作,采取适当措施减轻这些数据的影响。
对于我们批准的研究人员、学术界和行业组织,我们免费提供这一访问权限。
最后,实施与执法部门和行业合作伙伴密切合作的滥用管理和威胁分析小组。