恶意程式利用Twitter和GitHub掩护躲避侦测
宁静公司FireEye发现一只名为Hammertoss的后门程式,可使用Twitter和GitHub等合法网站作为掩护,以规避侦测,并到达黑暗窃取用户资料的目的。
FireEye最早在五月初首度发现Hammertoss,它背后是一个名为APT 29的**骇客组织,该公司怀疑有**当局的支持。 FireEye认为,Hammertoss可能是作为APT 29其他重要后门程式的辅助东西,以便在重要攻击被发现后可以继续执行指令和存取受益电脑。
Hammertoss加入了模糊与模仿合法使用者行为的本领,像是使用罕见着名网站,像是Twitter、GitHub和云端储存服务来转送指令以规避宁静专家的侦测,再从受益电脑窃取资料。 Hammertoss其中一个变种,名为tDiscovery的后门程式,便是先到Twitter上获得C&C(Command and Control)URL,再连向这个网站以下载目的图片。
宁静人员解析其中的历程指出,Hammertoss在进入受益者电脑后,会以演算法每天新建并找寻差别的Twitter帐号(Twitter handle),之后就再登入Twitter对应的页面。登入后,即开始寻找包罗C&C伺服器的URL及说明特定图像位置与最小尺寸的hashtag,接着造访该URL寻找这张图片。
这张看似正常的图片其实暗藏了以隐写术(steganography)加密的指令。 Hammertoss将指令解密后,C&C伺服器即可命令受益电脑中的恶意程式执行指令,像是执行侦察、透过PowerShell执行指令,或是把受益者资料上传到云端储存服务。
FireEye指出,虽然也有其他APT团体企图隐藏踪迹,但APT29的能力更出其右,他们具有减少或清除鉴识证据的训练,以及侦察与规避网路宁静防御工事的强大能力。
二个月前FireEye也发现中国骇客组织APT17使用微软TechNet网站来隐藏远端控制受益电脑的C&C通讯,以达成窃取资料或修改、删除档案等目的。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
上一篇: LINE推出Chrome浏览器版本
下一篇: 为什么说苹果iOS是伪后台
