中國駭客隱藏惡意軟體,控制微軟 TechNet 評論

作者 | 發布日期 2015 年 05 月 18 日 7:30 | 分類 Microsoft , 資訊安全 follow us in feedly
TechNet_leiphone0515_600x400

根據安全服務供應商 FireEye 公司透露,微軟正在著手處理一批來自中國的駭客,他們攻擊微軟旗下的 TechNet 網站。



據 FireEye 透露,這組駭客名為 APT 17(APT:Advanced Persistent Threat 高級持續性滲透攻擊),他們以入侵國防企業、法律公司、美國政府代理以及科技數據挖掘公司聞名。

TechNet 是一個流量很高的網站,主要為用戶提供微軟產品的技術文檔,此外他們的論壇也很火,用戶可以在上面留評論、問問題等。

APT17 組織還有一個外號叫做 DeputyDog,他們在 TechNet 網站上創建了一些帳戶,並在指定的網頁上留下大量評論,這些評論包含了加密域名,一旦電腦被他們的惡意軟體感染,就會被指向到一個特定網址。

Bryce Boland 是 FireEye 公司亞太區首席技術長,他表示,那個加密域名之後會將中毒者的電腦「拖到」一個由命令行控制的伺服器上,該伺服器屬於 APT17 組織伺服器的一部分。APT17 頻繁採用的技術,是讓受感染的電腦與一個中間域名建立聯繫。通常來說,駭客採取的手段就是要讓被感染的機器與一個看上去不是很可疑的域名建立聯繫。

「如果你發現 TechNet 的流量出現激增,那太正常不過了,」Boland 說道。

有時,命令行控制的域名會被嵌入到惡意軟體裡面,但是這種做法很容易就能被殺毒軟體給識別出來。當然,惡意軟體也會使用算法加密,然後自動生成一些惡意域名,不過殺毒分析師可以利用反向工程識別出這種病毒植入模式。

安全專家發現,駭客也會濫用一些合法域名和伺服器,比如 Google Docs 和 Twitter,這種方式和 APT17 所希望達到的目的是一樣的。「對於任何一個開放平台來說,這都會是個挑戰,」Boland 說道。

現在,一旦被感染的機器訪問了那些惡意域名,FireEye 和微軟就會發現問題,並且將 TechNet 網站上對應的惡意加密域名給刪除掉。據 Boland 透露,駭客組織 APT17 已經覬覦微軟客戶多年,當然期間還存在其他一些駭客組織,他們會使用釣魚式攻擊,比如通過電子郵件的方式發送帶有惡意軟體的連接或附件。

FireEye 發現,在過去的數年裡,駭客組織 APT17 已經在不少電腦內植入了一款名為 BLACKCOFFEE(黑咖啡)的惡意軟體,這款惡意軟體可以利用被感染的電腦上傳文件,刪除文件,並創建反向 shell 命令等。

(本文由 雷鋒網 授權轉載) 

發表迴響