最新病毒庫日期:
  • 江民科技首家挖掘“蟄狼”惡意代碼
2020-01-19 19:00 來源:未知
【文章摘要】江民科技持續監測分析,國內首家發現挖掘蟄狼惡意代碼,成功切斷其蟄狼行動,該惡意代碼攻擊對象鎖定特定目標,以加密、預置后門、竊取特定目標秘密為目的。
江民科技持續監測分析,國內首家發現挖掘“蟄狼”惡意代碼,成功切斷其“蟄狼”行動。該惡意代碼攻擊對象鎖定特定目標,以加密、預置后門、竊取特定目標秘密為目的。通過對該惡意代碼的深度分析,該攻擊者對特定目標的網絡環境、業務系統進行了針對性的研究,并根據業務場景惡意代碼深度利用業務系統漏洞,定向竊取涉密文件,具有極強的隱密性、潛伏性,是對我國典型的高級威脅攻擊。
江民赤豹安全實驗室對“蜇狼”惡意代碼的攻擊特點進行了總結:

1. 通過文件擺渡方式傳入專網。該惡意代碼主要是針對專網環境,內外網、網中網文件擺渡(U盤、光盤和移動硬盤)的方式傳入專網,沒有任何相關的惡意URL、IP和網絡行為等威脅情報信息,通過流量側設備無法感知發現。

2. 橫向傳播能力強。圍繞共享服務器建立可控的蜘蛛網絡(群),每個被感染的主機也作為了該蜘蛛網絡(群)的潛在攻擊入口點。

3. 偽裝成普通的文件夾病毒。該惡意代碼偽裝成普通的文件夾病毒,即使被防病毒廠商主動防御技術或者啟發式掃描技術發現了,容易誤判定為普通文件夾病毒,對廠商和用戶都具有極強的迷惑性,降低廠商和用戶重視程度。

4. 具有很強的對抗性。該惡意代碼與現有多款防病毒軟件進行對抗,實現了免殺和終止多款防病毒軟件運行目的,具有很強的對抗性。

5. 采集目標明確,隱蔽性強。主機中毒后6天才開始進行文件標記動作,并會指定三個明確的目標文件路徑進行定向采集(標簽水印系統文件夾、桌面文件夾、非邏輯磁盤文件夾、最近訪問文件夾)。

6. 加密文件行為迷惑性強。采集時會鎖定目標文件夾,并且每隔兩個文件加密損壞一個文件,迷惑用戶誤以為是電腦系統出現故障,消除用戶防范心理,并借機靠近重要位置竊取重要信息。

7. 代碼設計邏輯復雜。該惡意代碼目前已發現挖掘三個迭代版本,具有多個定時器,每個版本都在針對用戶環境進行升級,通過社會工程學迷惑降低用戶防范心理。

8. 代碼設計機理與震網病毒的設計機理相似。
 
赤豹安全實驗室已對“蟄狼”惡意代碼整個攻擊過程進行了全面深度分析,該惡意代碼存在多個更新迭代版本,具備高級持續性特點,該惡意代碼有以下幾個主要模塊:
1、 橫向傳播
2、 后門預置
3、 遍歷采集文件名標題含有涉密敏感關鍵字的文件
4、 標記加密文件行為,關聯組合攻擊等模塊。
該惡意代碼設計邏輯復雜,有多個定時器,各模塊均有相關配置,可根據配置文件調整惡意代碼行為。同時惡意代碼各模塊觸發條件多樣化,隱蔽性強。例如初次感染分為三個階段進行,第一階段和第二階段間隔3分鐘,第二階段和第三階段間隔18小時;遍歷采集文件行為在中毒后并不是馬上執行,而是設定6天開始收割行動;加密模塊不是中毒后馬上加密,而是需觸發三個條件之一才開始對文件進行標記加密。
 
該惡意代碼是有目標,有組織的滲透植入專網并發起“蜇狼”行動,達到竊取特定目標秘密信息的目的。目前江民科技的全系列殺毒軟件能夠成功查殺“蜇狼”惡意代碼,如相關單位通過使用江民殺毒軟件查殺,有發現以下病毒查殺記錄的可電話咨詢公司了解更多細節,做好整體防范和自檢工作。
Backdoor.EvilSecWolf.a
Backdoor.EvilSecWolf.b
Backdoor.EvilSecWolf.c
Backdoor.EvilSecWolf.d
Backdoor.EvilSecWolf.e
Backdoor.EvilSecWolf.f
 
如需了解更多詳細內容,請電話咨詢:邵先生18210235689

甘肃11选5玩法技巧