根據安全服務供應商FireEye公司透露,微軟正在着手處理一批來自中國的黑客,他們對微軟旗下的TechNet網站進行了攻擊。
據FireEye透露,這組黑客名為APT 17(APT:Advanced Persistent Threat高級持續性滲透攻擊),他們以入侵國防企業,法律公司,美國政府代理,以及科技數據挖掘公司聞名。
TechNet是一個流量很高的網站,主要為用户提供微軟產品的技術文檔,此外他們的論壇也很火,用户可以在上面留評論,問問題,等等。
APT17組織還有一個外號,叫做DeputyDog,他們在TechNet網站上創建了一些賬户,並在指定的網頁上留下大量評論,這些評論包含了加密域名,一旦計算機被他們的惡意軟件感染,就會被指向到一個特定網址。
Bryce Boland是FireEye公司亞太區首席技術官,他表示,那個加密域名之後會將中毒者的計算機“拖到”一個由命令行控制的服務器上,該服務器屬於APT17組織服務器的一部分。APT17頻繁採用的技術,是讓受感染的計算機與一箇中間域名建立聯繫。通常來説,黑客採取的手段就是要讓被感染的機器與一個看上去不是很可疑的域名建立聯繫。
“如果你發現TechNet的流量出現激增,那太正常不過了,”Boland説道。
有時,命令行控制的域名會被嵌入到惡意軟件裏面,但是這種做法很容易就能被殺毒軟件給識別出來。當然,惡意軟件也會使用算法加密,然後自動生成一些惡意域名,不過殺毒分析師可以利用反向工程識別出這種病毒植入模式。
安全專家發現,黑客也會濫用一些合法域名和服務器,比如Google Docs和Twitter,這種方式和APT17所希望達到的目的是一樣的。“對於任何一個開放平台來説,這都會是個挑戰,”Boland説道。
現在,一旦被感染的機器訪問了那些惡意域名,FireEye和微軟就會發現問題,並且將TechNet網站上對應的惡意加密域名給刪除掉。據Boland透露,黑客組織APT17已經覬覦微軟客户多年,當然期間還存在其他一些黑客組織,他們會使用釣魚式攻擊,比如通過電子郵件的方式發送帶有惡意軟件的連接或附件。
FireEye發現,在過去的數年裏,黑客組織APT17已經在不少計算機內植入了一款名為BLACKCOFFEE(黑咖啡)的惡意軟件,這款惡意軟件可以利用被感染的計算機上傳文件,刪除文件,並創建反向shell命令,等等。
VIA pcworld
資料來源:雷鋒網
作者/編輯:天諾
請按此登錄後留言。未成為會員? 立即註冊