黑基Web安全攻防班
黑基网 首页 资讯 安全报 查看内容

史上最复杂的APT间谍软件

2014-12-11 13:29| 投稿: blue

摘要: 卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种,它的主要攻击目标是Linux系统,因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台...
卡巴斯基实验室的安全专家们首次发现了恶意程序Turla的新变种,它的主要攻击目标是Linux系统,因此又被叫做企鹅Turla(Penquin Turla)。当该恶意程序已经上传并出现在在线安全检测平台上之后,研究人员才注意到它并开始调查。史上最复杂的APT(高级持续性威胁)间谍软件间谍软件是恶意程序的一种,能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。它能够削弱用户对其使用历史、隐私和系统安全的物质控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。鉴于间谍软件的巨大危害,一旦它入侵政府或军方的计算机,其后果将不堪设想。Turla被认为是历史上最复杂的APT(高级持续性威胁)间谍软件。Turla由BAE的研究员首次发现,研究人员认为它由俄罗斯网络专家开发,并且很可能是莫斯科政府网络武器(cyber weapon)计划的一部分。安全研究人员还发现该恶意程序与之前的Uroburos病毒(一个用于网络间谍活动的恶意程序)存在关联。走近企鹅Turla企鹅Turla程序由C语言和C++语言编写,由于连接了多个库,所以它的文件体积明显增大。攻击者除去了带有符号信息的代码,这大大增加了安全专家分析该程序的难度。和其他Turla变种一样,企鹅Turla也可以隐藏网络通信,任意执行远程命令和远程控制受害者机器。企鹅Turla大量使用了开源的静态链接库,包括glibc2.3.2、openssl v0.9.6 和libpcap。企鹅Turla并不需要使用root权限即可以执行攻击命令,同时难以被发现,不会被Linux上管理工具(命令)netstat探测到。也就是说,即使用户在启动该程序时限制了系统权限,企鹅Turla仍然可以继续截断数据包和执行恶意操作。除此之外,研究人员还在Penquin Turla中发现了硬编码的控制与命令(C&C)服务器地址——news-bbc.podzone[.]org。不断增强的新变种企鹅Turla这种Turla新变种集成了当前各种资源,攻击者们对其添加了新的功能,除去了旧版本中的老代码。因此其攻击能力也有所增强。安全研究人员们指出,当前肯定还有很多的Turla地下工具还没有被发现。这些恶意程序正被政府资助的攻击者们用于窃取世界各国政府机构、大使馆、军方、研究机构和制药公司的机密信息。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部