黑基网 首页 资讯 科技眼 查看内容

恶意程式利用Twitter和GitHub掩护躲避侦测

2015-8-5 08:38| 投稿: son850318

摘要: 安全公司FireEye发现一只名为Hammertoss的后门程式,可利用Twitter和GitHub等合法网站作为掩护,以躲避侦测,并达到暗中窃取用户资料的目的。FireEye最早在五月初首度发现Hammertoss,它背后是一个名为APT 29的** ...
安全公司FireEye发现一只名为Hammertoss的后门程式,可利用Twitter和GitHub等合法网站作为掩护,以躲避侦测,并达到暗中窃取用户资料的目的。

 FireEye最早在五月初首度发现Hammertoss,它背后是一个名为APT 29的**骇客组织,该公司怀疑有**政府的支持。 FireEye认为,Hammertoss可能是作为APT 29其他主要后门程式的辅助工具,以便在主要攻击被发现后可以继续执行指令和存取受害电脑。

Hammertoss加入了模糊与模仿合法使用者行为的技巧,像是利用常见知名网站,像是Twitter、GitHub和云端储存服务来转送指令以躲避安全专家的侦测,再从受害电脑窃取资料。 Hammertoss其中一个变种,名为tDiscovery的后门程式,就是先到Twitter上取得C&C(Command and Control)URL,再连向这个网站以下载目标图片。

安全人员解析其中的过程指出,Hammertoss在进入受害者电脑后,会以演算法每天新建并找寻不同的Twitter帐号(Twitter handle),之后就再登入Twitter对应的页面。登入后,即开始寻找包含C&C伺服器的URL及说明特定图像位置与最小尺寸的hashtag,接着造访该URL寻找这张图片。

这张看似正常的图片其实暗藏了以隐写术(steganography)加密的指令。 Hammertoss将指令解密后,C&C伺服器即可命令受害电脑中的恶意程式执行指令,像是执行侦察、透过PowerShell执行指令,或是把受害者资料上传到云端储存服务。

FireEye指出,虽然也有其他APT团体企图隐藏踪迹,但APT29的能力更出其右,他们具备减少或消灭鉴识证据的训练,以及侦察与躲避网路安全防御工事的强大能力。

二个月前FireEye也发现中国骇客组织APT17利用微软TechNet网站来隐藏远端控制受害电脑的C&C通讯,以达成窃取资料或修改、删除档案等目的。
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部