Pastebin是最受欢迎的网站,用户可以在其中分享小的文本片段,如今,网络安全研究人员认为,这两个新功能将被恶意软件运营商广泛滥用。
命名为“读后即烧”(Burn After Read)“和“密码保护的粘贴”(Password Protected Pastes),这两个新功能允许Pastebin用户使用创建一次阅读后过期的粘贴(文本片段)或受密码保护的粘贴。
这两个功能都不是原创的,因为它们已经在许多粘贴网站上出现多年了。
但是,它们对Pastebin来说是新的,到目前为止,它是当今最受欢迎的粘贴门户网站,在Alexa Top 2000最受欢迎互联网上的热门网站。
就像任何流行的东西一样,这也吸引了很多在平台上托管的不良内容。虽然有些人用它来托管他们想与同事共享的代码或文本,但在过去的十年里,Pastebin也变成了一种事实上的恶意代码托管服务。
多年来,恶意软件作者使用Pastebin存储恶意命令,在受感染的主机上检索并运行这些命令、黑客数据,恶意软件命令和控制服务器的IP地址,以及许多其他操作详细信息。
ZDNet很难确定Pastebin在恶意软件操作中的存在程度或百分比,但将其描述为“并不少见”。
“Pastebin是迄今为止最多产的‘粘贴站点’,也是使用PowerShell进行无文件攻击的相当流行的集结地。例如,威胁参与者的初始负载可能使用PowerShell从pastebin.com网站通过PowerShell进一步执行。丰富的CobaltStrike框架可以通过这种方式加载。“
为了抵消Pastebin在恶意软件开发人员中日益流行的势头,多年来,网络安全公司已经创建了一些工具,这些工具可以在Pastebin新条目上传到网站后立即搜索恶意或敏感的内容。这些恶意贴片被编入了私人威胁英特尔数据库的索引,这些数据库后来用于事件响应,还报告给Pastebin,让它们被销毁。
但是现在,安全研究人员认为,通过今天添加这两个新功能,Pastebin正在阻止他们检测恶意软件操作的善意努力,并更多地迎合恶意软件人群,而不是实际用户和好人。
“除非他们采取了不明显的措施,防止C2和恶意软件暂存使用读后即烧和密码保护,对于那些使用PasteBin实现这些目的的攻击者来说,这些新功能似乎非常有用,“Brian,匹兹堡的安全研究员,但新功能不仅仅是实时检测上传到网站上的内容。这也会影响感染后的IR调查。
“这一新的变化将使事件响应者更难快速评估在某些环境中可能下载和执行的内容,“Samuels告诉ZDNet,长期以来,人们对Pastebin的两个新功能的反应也是因为网络安全社区与网站的关系不稳定。
多年来,安全研究人员经常指责其管理员在需要清除恶意软件时拖拖拉拉锡膏。今年4月早些时候,事情变得非常火爆https://www.cybercoop.com/pastebin-research-cyberscrime-osint-scraping/“target=”_blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>Pastebin希望停止刮削API;一个网络安全研究人员用来检测上传到Pastebin上的新内容的工具。
Pastebin在大规模的反对和媒体报道之后,又对这一变化进行了回溯。
目前还不清楚Pastebin如何看待网络安全社区对其更新功能的最新反应。在这篇文章发表之前,该公司还没有回应记者的置评请求。
尽管如此,网络安全研究人员也可能反应过度,因为周围有许多其他的像Pastebin这样的粘贴网站,与Pastebin相比,其中一些公司甚至更宽容地允许在其平台上进行滥用。
“当然,infosec Twitter有一些过度反应,而且不仅仅是Pastebin。有许多具有类似功能的粘贴站点,邮政局例如,“Samuels说,
让像Pastebin这样的网站对其支持的功能负责是必要的,但这两个新功能也有合法的用途。如果Pastebin真的如此糟糕,那么多年前就应该采取其他措施。
“应在公司网络内阻止Pastebin和其他粘贴网站,”SwitHak,一位来自法国的安全研究员,告诉ZDNet
“我们知道它被坏人利用。我们需要采取相应的行动。
“我们知道向量,让我们烧掉它,迫使攻击者使用他们自己的服务器。如果他们在自己的服务器上托管恶意软件配置,我们可以烧毁攻击者的基础设施。它让攻击者的攻击变得更加复杂,迫使他们在我们的领域里比赛,并增加成本,”SwitHak补充道。
