网站原创近日,卡巴斯基实验室发表的一份最新研究报告,分析了一系列涉及使用Adobe Reader(CVE-2013-6040)PDF漏洞的安全事件,并公布一款全新的高度可写作化的恶意程序――MiniDuke,它整合了“老派”恶意软件编写者的技巧和最新的Adobe Reader漏洞,针对多个重要机构发动攻击.
卡巴斯基实验室创始人兼CEO尤金卡巴斯基说:“这是一次非比寻常的网络攻击.我记得这种风格的恶意程序出现于90年代末期和21世纪初.我怀疑是否这类恶意软件编写者是否在沉寂超过10年之后,又重新苏醒,加入到在网络世界创建最新复杂威胁之列.这些精英编程者或者说“老派”的恶意软件编写者在过去曾经创建出高度复杂的病毒,现在,他们将这一技能同最新的能够绕过沙盒的漏洞利用技术结合,开始针对多个研究机构发动攻击.”此外,尤金还补充道:“MiniDuke是一款高度可写作的后门程序,由汇编程序编写,体积非常的小,仅仅有20kb大小.通过结合,使得经验丰富的老派恶意软件编写者可以使用最新发现的漏洞利用程序和高明的社交工程技巧,从而造成多个重要被攻击目标面临极高的风险.”
据介绍,MiniDuke背后的攻击者仍然在行动,在2月20日还创建了恶意软件.为了达成入侵目的,攻击者使用了极为有效的社交工程技巧,利用发送恶意PDF文档到受攻击目标.
| 有关论文范文主题研究: | 关于后门的论文范例 | 大学生适用: | 电大论文、专升本论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 72 | 写作解决问题: | 如何写 |
| 毕业论文开题报告: | 文献综述、论文摘要 | 职称论文适用: | 期刊发表、职称评初级 |
| 所属大学生专业类别: | 如何写 | 论文题目推荐度: | 优质选题 |
恶意PDF中包括漏洞利用程序,能够攻击版本号为9、10和11的Adobe Reader,并绕过其沙盒安全措施.这类漏洞利用程序的创建使用了专门的工具包,其所用工具包似乎同FireEye最近发现的攻击所用工具包一致.尽管如此,MiniDuke攻击中使用的漏洞利用程序同其目的不同,并针对其写作了自己的恶意软件.
而一旦系统的漏洞被成功利用,恶意程序会在系统磁盘上植入一个体积非常小的下载器程序,其体积仅为20kb.每个系统下的下载器程序都不同,其中包含以汇编语言编写的可写作后门程序.系统启动后,后门程序会载入,并使用一套数学算法确定每个计算机唯一的指纹,之后用这些数据进行通讯加密.在特定环境下(如VMware),后门程序还具有躲避硬编码工具分析功能.如果后门程序位于此类环境下,会保持空闲状态,而不会继续执行下一步功能,从而不会解密自身,将更多功能暴露出来.这表明,恶意软件编写者了解反病毒和IT安全人员为了分析和检测恶意软件所采取的手段.如果受攻击系统满足预设的需求,恶意软件会利用Twitter(在用户不知情的情况下)寻找预先设定的发出的特定信息.这些是MiniDuke的命令和控制(C2)操作者创建的,其中的信息包含特定标签,为后门程序指定加密URL链接.通过这些URL链接可以访问C2,并向后门程序发送指令,并将其他额外后门程序通过GIF文件的形式形式加密传送到系统.
基于这些分析,可推测MiniDuke的创造者创建了一种动态备份系统,能够绕过反病毒检测.如果Twitter无法工作或账户无法使用,恶意软件会使用Google搜索其他C2的加密字符串.这种模式非常灵活,使得操纵者可以不断变换后门程序获取命令或恶意代码的渠道.一旦受感染系统连接到C2,会接收加密的后门程序.这些后门程序采用GIF文件遮人耳目,伪装成图片进入受感染计算机.一旦下载到计算机,后门程序会下载更大的后门程序,这种后门程序能够执行一些基本的功能,例如拷贝文件、移动文件、清除文件、创建目录,结束进程等.当然,还能够下载和执行新的恶意软件.而该恶意软件后门连接到两个怎么写作器,一个位于巴拿马,另一个位于土耳其.后门程序通过怎么写作器接收攻击者的指令.
目前,卡巴斯基实验室系统将MiniDuke恶意软件检测为:Backdoor.Win32.MiniDuke.gen和Backdoor.Win32.Miniduke.卡巴斯基实验室还能够检测PDF文档中使用的漏洞利用程序,检测结果为Exploit.JS.Pdfka.giy.