沒有文件,沒有日誌,如果幸運的話,內存幾乎沒有任何痕跡。安全研究人員剛發現的惡意軟體卡巴斯基在銀行、政府組織和電信業者的 Windows 伺服器中,其隱密性和標準駭客工具的使用都令人驚訝。因此,此攻擊依賴 Meterpreter 後門和 Mimikatz 密碼收集器,它們都是 Metasploit(用於漏洞測試的攻擊性安全平台)的一部分。法國似乎特別受到這項新技術的影響。在發現的 140 名受害者中,約有 10 名受害者在法國。
攻擊是如何發生的?當電腦被駭客存取時,用 Powershell 編寫的腳本將被放置在註冊表中。執行此腳本時,它會建立 Meterpreter 後門並將其載入到記憶體中。與命令和控制伺服器的通訊隧道是使用 Netsh 命令建立的,該命令是 Windows 伺服器的標準工具之一。
借助這種技術,駭客可以創建遠端訪問,而無需創建單個文件,甚至無需在日誌文件中生成條目。檢測惡意軟體的唯一方法是進行 RAM 掃描。事實上,去年這種新型惡意軟體就是透過分析銀行域控制器的記憶體而被發現的。
卡巴斯基的部落格文章並沒有解釋該惡意軟體的用途。他計劃在明年四月的年度安全分析師峰會上詳細透露這一點。靠近技術藝術儘管如此,發布者還是澄清說,該惡意軟體用於存取控制 ATM 的伺服器。顯然,目的是清空它們。
該惡意軟體依賴標準軟體,這一事實使其歸因變得相當複雜。通常,安全研究人員依賴程式碼的特定元素—註釋、功能模組、加密技術等。 – 將惡意軟體與某個已知的犯罪集團連結。事實上,惡意軟體開發人員經常重複使用他們創建的技術和程式碼片段以節省時間。但如果使用的所有工具都是標準的,這種類型的分析就會變得更加困難,並且作者可以更多地留在陰影中。
