E安全2月11日讯 近日,一款复杂的“无文件”恶意软件感染了40个国家100多家银行和金融机构,这种恶意软件几乎检测不到。
卡巴斯基实验室的安全专家发现了该威胁,攻击者以许多行业的组织机构为目标。40个国家的银行、电信公司和政府机构被一种“无文件”恶意软件感染,该恶意软件寄居在受感染计算机的内存,不将任何文件或文件复制到硬盘。
研究人员发现,这款恶意软件已经感染了140个企业网络,大多数受害对象位于美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯。
研究人员认为,受害者可能更多,因为这种威胁几乎检测不到。恶意代码直接注入被感染设备的内存,该恶意软件在系统的RAM上执行恶意代码。
卡巴斯基发布分析称,“实施此类技术的最佳例子便是Duqu2。访问硬盘并开始执行恶意软件MSI安装包后,Duqu2通过文件重命名从硬盘删除该MSI安装包,并通过有效载荷将自身的一部分留内存中。这就是为什么内存取证对分析恶意软件及其功能如此重要的原因了。攻击的另一个重要部分是攻击者欲安装在网络中的隧道(Tunnel)。”
该攻击首先由银行的安全团队发现,他们发现Microsoft 域控制器中(Domain Controller,DC)存在Meterpreter代码(Metasploit框架的内存组件)副本。
卡巴斯基实验室的专家追踪到了MEM:Trojan.Win32.Cometer和MEM:Trojan.Win32.Metasploit。该恶意软件利用Windows注册表内的PowerShell脚本将Meterpreter代码直接加载到内存中。类似的利用PowerShell的技术已被其他恶意软件所采用。
分析指出,卡巴斯基实验室在检测到攻击后参与取证分析,发现恶意软件在Windows注册表中使用PowerShell脚本。此外,卡巴斯基实验室还发现,NETSH实用程序被用来将流量从受害者的主机以隧道传输的方式传到攻击者的控制与命令服务器。
攻击动机:
黑客似乎对被感染的ATM控制系统感兴趣,但到底真正的动机如何?相关部门正在进行调查。
卡巴斯基实验室的研究人员计划在4月披露此攻击的更多详情。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com0day
文章评论