本文讲的是全球140家银行感染Duqu 2.0,隐藏6个月无人发现,
两年前,卡巴斯基实验室的安全研究员发现他们的公司网络感染了一个他们从来没有见过的恶意程序。这种恶意程序只存在于被感染设备的内存中,很难被检测出来,并且能在系统中隐藏6个月以上。卡巴斯基实验室将这一恶意程序命名为Duqu 2.0。
现如今,无文件恶意程序正在变得越来越流行,因为一些利益驱动的网络犯罪黑客会倾向于模仿国家赞助黑客行为,然后展开攻击。据卡巴斯基实验室的研究发现,全球至少有140家银行和企业感染了这一恶意程序,并且同样是隐藏在了内存中。由于该恶意程序的隐藏能力非常高超,所以一定还有系统虽然感染了恶意程序,但是没有被安全研究员们发现。
造成Duqu 2.0隐藏能力高超的原因还有一个,就是使用了一些合法的系统安全管理工具,包括 PowerShell、Metasploit、Mimikatz。
卡巴斯基实验室专家Kurt Baumgartner表示:
比较有趣的是,这些恶意软件正在攻击全球各银行。糟糕的是,对于这种恶意程序的攻击,很多银行都没有做好准备,也就是说这些攻击成功率非常高。而攻击者们的目的无非就是钱,他们会控制管理ATM机的电脑,让其自动将钱吐出来。
全球140家银行感染了Duqu 2.0
被感染的这140机构分别位于全球40个不同的国家,排名前五的国家有美国、法国、厄瓜多尔、肯尼亚、英国。但卡巴斯基实验室的安全研究员们始终不知道背后攻击者的真实身份,甚至都不知道他们是个人黑客还是黑客组织,他们使用的无文件恶意程序也没办法溯源到,所以更给他们蒙上了一层神秘的面纱。
卡巴斯基实验室的安全研究员于去年第一次发现了这种恶意程序,当时一家银行的安全团队在 Microsoft域控制器的物理内存中发现了Metasploit的内存组件Meterpreter,对其进行分析后发现代码是被下载的,使用PowerShell命令注入到内存中。攻击者设计窃取系统管理员的密码,获取远程访问的管理员权限。
幸运的是,域控制器上的证据是完整的,因为在卡巴斯基实验室开始调查之前它还没有重启过,所以卡巴斯基实验室的研究员可以分析一个完整的案例。通过分析泄露的内存目录和Windows日志,安全研究员们可以恢复Meterpreter和Mimikatz代码。
对于这一恶意程序,卡巴斯基实验室目前还没有提供详细的信息,他们计划4月份会公布该恶意程序的入侵详情和技术细节。
原文发布时间为:2017年2月9日
本文作者:張奕源Nick
本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。