没有文件,没有日志,如果幸运的话,内存中几乎没有任何痕迹。安全研究人员刚刚发现的恶意软件卡巴斯基在银行、政府组织和电信运营商的 Windows 服务器中,其隐秘性和标准黑客工具的使用都令人惊讶。因此,该攻击依赖于 Meterpreter 后门和 Mimikatz 密码收集器,它们都是 Metasploit(用于漏洞测试的攻击性安全平台)的一部分。法国似乎尤其受到这项新技术的影响。在发现的 140 名受害者中,约有 10 名受害者在法国。
攻击是如何发生的?当计算机被黑客访问时,用 Powershell 编写的脚本将被放置在注册表中。执行此脚本时,它会创建 Meterpreter 后门并将其加载到内存中。与命令和控制服务器的通信隧道是使用 Netsh 命令建立的,该命令是 Windows 服务器的标准工具之一。
借助这种技术,黑客可以创建远程访问,而无需创建单个文件,甚至无需在日志文件中生成条目。检测恶意软件的唯一方法是进行 RAM 扫描。事实上,去年这种新型恶意软件就是通过分析银行域控制器的内存而被发现的。
卡巴斯基的博客文章没有解释该恶意软件的用途。他计划在明年四月的年度安全分析师峰会上详细透露这一点。靠近技术艺术尽管如此,发布者还是澄清说,该恶意软件用于访问控制 ATM 的服务器。显然,目的是清空它们。
该恶意软件依赖于标准软件,这一事实使其归因变得相当复杂。通常,安全研究人员依赖于代码的特定元素——注释、功能模块、加密技术等。 – 将恶意软件与某个已知的犯罪集团联系起来。事实上,恶意软件开发人员经常重复使用他们创建的技术和代码片段以节省时间。但如果使用的所有工具都是标准的,这种类型的分析就会变得更加困难,并且作者可以更多地留在阴影中。
