Stealthy Cyberespionage恶意软件目标能源公司
安全研究人员已经发现了一种新的恶意软件威胁,以在瞄准能源公司的同时保持未被发现。
安全公司SentineLone的研究人员有Dubbed Furtim的父母,是一个所谓的滴管 - 一个旨在下载和安装其他恶意软件组件和工具的程序。研究人员认为它在5月份发布,并由国家赞助的攻击者创造。
DOPPERS的目标是为安装可以执行专门任务的其他恶意软件组件准备该字段。他们的优先事项是保持未被发现,获得特权访问和禁用现有保护。这些都是Furtim的父母所做的所有任务。
当它首先在系统上执行时,恶意软件测试虚拟机,沙箱,防病毒程序,防火墙,恶意软件分析师使用的工具,甚至生物识别软件的环境。
测试是广泛的。它们涉及检查CPU ID,主机名,文件名,DLL库,目录,CPU核心信息,内核驱动程序,运行进程,硬盘供应商信息,网卡,MAC地址和BIOS信息 - 由已知虚拟化留下的伪影和安全应用程序。
在某些情况下,如果检测到此类软件,则恶意软件将终止。在别人中,它将继续运行,但会限制其功能,并在防病毒程序的情况下,它将尝试禁用它们。
这些测试的深度和复杂性表明恶意软件的创作者对Windows和安全产品具有很好的理解。这一LED研究人员认为Furtim的父母是多个开发人员的工作,具有高级别的技能和获得相当大的资源。
恶意软件不会在磁盘上安装常规文件,而是作为NTFS替代数据流(广告)。它在计算机启动过程中启动,并调用低级未记录的Windows API,以绕过安全产品使用的行为检测例程。
“间接子程序调用的使用使手动静态分析几乎不可能,并且手动动态分析痛苦和缓慢,”Sentinelone研究人员在周二的博客文章中说。“作者特别注意,尽可能长时间保持这种样品。”
恶意软件使用两个Windows权限升级漏洞,2014年由Microsoft修补,2015年的一个,以及已知的用户帐户控制(UAC)旁路技术,以获得管理员权限。如果获得此访问,则它将当前用户添加到管理员组,以避免在不同的帐户下运行并提出怀疑。
一旦安装了它,恶意软件静默禁用多个防病毒产品的保护层,并劫持系统的DNS设置,以防止访问特定的防病毒更新服务器。这可确保为下载和执行其有效载荷设置地面。
由Sentinelone研究人员观察到的一个有效载荷用于收集来自受感染系统的信息,并将其发送回命令和控制服务器。这很可能是一个侦察工具,但丢弃器也可用于下载旨在提取敏感数据或执行破坏性动作的组件。
能源生产和分销公司是国家赞助的网络禁区有吸引力的目标,因为他们的系统可能被用来造成物理损坏。这是在乌克兰12月发生的事情,当黑客使用恶意软件闯入公用事业并导致大规模的停电。
