Stealthy Cyber​​espionage恶意软件目标能源公司
网络安全公司为用户提供报销的赎金软件感染
敏捷开发一个“它的时尚”风险迭代失败
微软Coo Kevin Turner离开了一家金融贸易公司
第50条触发技术产业的不确定性
Instagram创建了Snapchat故事的近碳副本
伊隆麝香的'主计划:部分Deux' - 你需要知道什么
Honda为混合动力汽车的新电机很大
微软的新动态365将在云中捆绑ERP和CRM
四个新的Windows补丁以避免:KB 2952664,2976978,2977759和Windows Journal 3170735
瑞典的Bisnode整合外包吧
银行遭受了85次尝试严重的网络攻击一年,三分之一是成功的
政治为美联储对旧的依赖而谴责
反信托投诉在欧盟的微软目标
Wannacry最大的事件到国家网络安全中心日期
MPS和同行敦促不使用个人电子邮件作为Wannacry Spreads
200米雅虎账户可能会在黑市上出售
用数据分析提高栏杆
腕表证实了94%的Apple Watch客户'满意'
微软,大学研究人员打破了DNA数据存储记录
面试:克里斯杨,麦克菲的首席执行官
最后一分钟Win10周年纪念更新补丁,14393.10,可能会破坏Cortana
瑞银对合规性和竞争优势应用数据保护
及时退回:返回2013年的Android手机查看透视图
CIO采访:John Seglias,CTO,Defra
黑客在Cicis Pizza Chain排名130餐厅
Apple的轮椅活动应用程序背后的故事
Rackspace高级管理层重新制作延续新的首席执行官预约
Dunkin'Donuts和Here Technologies加入AWS Cloud Custom客户滚动电话
微软将在瑞典关闭Skype Office
ICO表示,与GDPR联盟
云还是在附近?这个大数据服务现在都摇摆了两种方式
案例分析:瑞典零售商如何入住销售在线销售
这个CEO说,Quantum时代已经开始了
Bitnami的增长是持续云优势的指标
苹果:想要应用程序?然后订阅
2016年上季度英国冒充欺诈39%
Windows PC制造商将客户挂在缺陷的Crapware更新器中
Win10管理员和开发人员应该获得10586.456 / KB 3170411进行测试
OLED笔记本电脑和平板电脑的势头褪色
Lloyds Bank从Microsoft测试生物识别身份验证
'可以做的'Devops团队的态度正在推动云首次策略
AT&T支持LG G4的Wi-Fi呼叫
主要的Windows 10将附近更新,因为Microsoft停止添加功能
雅虎销售有关搜索,广告和云的专利
FAA预计本周宣布商业无人机的规则
Microsoft Covets LinkedIn算法
Maersk希望无人机可以提供甜蜜的储蓄
技术投资核心摩根大通追逐成功
北欧Cio采访:Kari Finnskog,Västtrafik
您的位置:首页 >科技 > 通信技术 >

Stealthy Cyber​​espionage恶意软件目标能源公司

2021-07-10 09:44:34 [来源]:

安全研究人员已经发现了一种新的恶意软件威胁,以在瞄准能源公司的同时保持未被发现。

安全公司SentineLone的研究人员有Dubbed Furtim的父母,是一个所谓的滴管 - 一个旨在下载和安装其他恶意软件组件和工具的程序。研究人员认为它在5月份发布,并由国家赞助的攻击者创造。

DOPPERS的目标是为安装可以执行专门任务的其他恶意软件组件准备该字段。他们的优先事项是保持未被发现,获得特权访问和禁用现有保护。这些都是Furtim的父母所做的所有任务。

当它首先在系统上执行时,恶意软件测试虚拟机,沙箱,防病毒程序,防火墙,恶意软件分析师使用的工具,甚至生物识别软件的环境。

测试是广泛的。它们涉及检查CPU ID,主机名,文件名,DLL库,目录,CPU核心信息,内核驱动程序,运行进程,硬盘供应商信息,网卡,MAC地址和BIOS信息 - 由已知虚拟化留下的伪影和安全应用程序。

在某些情况下,如果检测到此类软件,则恶意软件将终止。在别人中,它将继续运行,但会限制其功能,并在防病毒程序的情况下,它将尝试禁用它们。

这些测试的深度和复杂性表明恶意软件的创作者对Windows和安全产品具有很好的理解。这一LED研究人员认为Furtim的父母是多个开发人员的工作,具有高级别的技能和获得相当大的资源。

恶意软件不会在磁盘上安装常规文件,而是作为NTFS替代数据流(广告)。它在计算机启动过程中启动,并调用低级未记录的Windows API,以绕过安全产品使用的行为检测例程。

“间接子程序调用的使用使手动静态分析几乎不可能,并且手动动态分析痛苦和缓慢,”Sentinelone研究人员在周二的博客文章中说。“作者特别注意,尽可能长时间保持这种样品。”

恶意软件使用两个Windows权限升级漏洞,2014年由Microsoft修补,2015年的一个,以及已知的用户帐户控制(UAC)旁路技术,以获得管理员权限。如果获得此访问,则它将当前用户添加到管理员组,以避免在不同的帐户下运行并提出怀疑。

一旦安装了它,恶意软件静默禁用多个防病毒产品的保护层,并劫持系统的DNS设置,以防止访问特定的防病毒更新服务器。这可确保为下载和执行其有效载荷设置地面。

由Sentinelone研究人员观察到的一个有效载荷用于收集来自受感染系统的信息,并将其发送回命令和控制服务器。这很可能是一个侦察工具,但丢弃器也可用于下载旨在提取敏感数据或执行破坏性动作的组件。

能源生产和分销公司是国家赞助的网络禁区有吸引力的目标,因为他们的系统可能被用来造成物理损坏。这是在乌克兰12月发生的事情,当黑客使用恶意软件闯入公用事业并导致大规模的停电。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。