要闻分享| 关注中国| 逆耳忠言| 不平则鸣| 情感天空| 健康生活| 流行时尚| 保险理财| 讽刺幽默| IT与游戏| 信息交流| 华发移民| 华发工作| 摄影美图

社会聚焦| 旅游天地| 娱乐八卦| 音乐视频| 校友互动| 网络社区| 房屋安家| 教育培训| 中医瑰宝| 专栏作者| 科技文化| 华发留学| 华发红娘| 关于本站

华发网China168.info海外中文门户网站

 找回密码
 立即注册

扫一扫,访问微社区

查看: 525|回复: 0

卡巴斯基解密Winnti——感染多国组织的幕后黑手

[复制链接]
发表于 2015-10-15 12:00:01 | 显示全部楼层 |阅读模式

卡巴斯基解密Winnti——感染多国组织的幕后黑手

卡巴斯基解密Winnti——感染多国组织的幕后黑手


全球知名的信息安全厂商——卡巴斯基实验室在追踪Winnti网络犯罪组织活动过程中,发现了一种基于一款2006年的bootkit安装程序的活动威胁。卡巴斯基实验室根据这种工具的原始名称“HDDRootkit”,将这种威胁命名为“HDRoot”。它是一种针对受攻击系统的可持续并且顽固的通用平台,能够被充当其它恶意工具的据点。目前,卡巴斯基实验室的安全产品能够成功拦截这一恶意软件,保护用户抵御相关威胁。

Winnti网络犯罪组织以针对软件公司进行工业间谍攻击行动而闻名,尤其是针对游戏行业的攻击。近期,卡巴斯基实验室发现这一网络犯罪组织开始针对制药企业发动攻击。

调查过程中,一个复杂的恶意软件样本引起了卡巴斯基实验室全球研究和分析团队的兴趣,从而导致了“HDRoot”被发现。这种威胁之所以会引起卡巴斯基实验室的关注,原因如下:

该威胁采用一种商业VMProtectWin64可执行文件进行保护,并且使用了一个已知的被盗数字证书进行签名,该数字签名属于一家名为广州YuanLuo技术的公司。Winnti网络犯罪组织曾经使用该数字证书为其它恶意工具进行签名。

可执行文件的属性和输出文本均进行了伪装,使其看上去像是微软的Net命令net.exe,很显然,网络罪犯这样做的目的是降低系统管理员发现这种恶意程序的风险。

上述这些特征加在一起,使得这种样本看上去非常可疑。进一步的分析显示,HDRootbootkit是一种在系统中可持续存在并且非常顽固的通用平台。它可以用来启动其它任何工具。卡巴斯基实验室全球研究和分析团队发现有两种后门程序借助该平台启动,而且可能还有更多未被发现。其中一款后门程序可以绕过韩国常用的反病毒产品,包括AhnLab’sV3Lite、AhnLab’sV3365Clinic和ESTsoft’sALYac。所以,Winnti使用这一平台在韩国的受攻击计算机上启动恶意软件。

根据卡巴斯基安全网络数据,韩国是Winnti网络攻击组织在东南亚最感兴趣的攻击区域,该地区其它受攻击的国家还包括日本、中国、孟加拉和印度尼西亚。卡巴斯基实验室还在英国和俄罗斯各一家公司发现了HDRoot感染,而这两家公司之前就曾经遭遇过Winnti的攻击。

卡巴斯基实验室全球研究和分析团队首席安全研究员DmitryTarakanov对此表示:“对任何高级可持续性威胁(APT)来说,首要的目标是保持隐藏不被发现。所以,我们很少会在这些恶意软件中看到复杂的代码加密,因为这样会吸引注意。Winnti网络犯罪组织采用了冒险的做法,他们很可能根据经验,判断哪些痕迹需要隐藏起来,哪些痕迹可以放任不管,因为大多数组织不可能一直都部署最佳的安全策略。系统管理员需要顾及很多事情,如果组织的IT团队规模很小,网络犯罪行为保持不被发现的可能性就更大。”

HDDRootkit的开发者可能是在Winnti组织创立时加入的人员。卡巴斯基实验室认为Winnti网络犯罪组织是在2009年成立的,所以在2006年时该组织并不存在。但是,有可能Winnti组织使用了第三方的恶意软件。也许这一恶意工具以及其源代码早就出现在中国的地下社区以及其它网络犯罪黑市。目前,这一威胁仍处于活动状态。卡巴斯基实验室开始在产品中加入针对该恶意软件的检测特征后,Winnti组织开始对该恶意软件进行修改。在不到一个月的时间内,卡巴斯基实验室就发现了最新的变种。

来源:互联网
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|关于我们|联系我们|用户须知|小黑屋|法律申明|隐私通告|华发网海外版china168.info

GMT-6, 2024-11-22 22:07

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表