RAT终结者在APT中的演变复杂化


发布人:admin分类:网络安全浏览量:24发布时间:2017-12-12

Advanced Persistent Threat 简称 APT, 是以攻击企业和组织为目标,类似工业间谍,用户情报的收集和相关信息的获取。而且这种攻击,是一种持久性的攻击方式。APT攻击在最近的网络攻击事件报道中开始层出不穷。

高级威胁以控制中心为目标,通过民间收购或者自制0day的方式欺骗受害者,以获得相关信息。

比如软件:RAT终结者,这个软件就在最近的2起APT事件中被使用到。在针对台湾地区的APT攻击里,也收集到了相关的实体样本。知名安全公司火眼,分析了其欺骗过程是通过邮件钓鱼的方式来实现。

其实现过程如下:通过CVE-2012-0158这个微软Office漏洞,攻击者往受害者发送的email的附件里带有此类word文件。一旦触发,一个名为:DW20.exe的后面程序将被运行。

有时候,最简单的技术就能看出那些安全大佬和大企业是如何侦测这些恶意文件的,特别具有讽刺意味。那我们看看RAT都用了哪些逃逸方式来躲避侦测:

RAT会先创建并且选定自己的工作目录为:%UserProfile%\Microsoft” “%APPDATA%\2019“,在工作目录,在那里,它会存储下svchost_.exe和sss.exe。 典型的名字欺骗,障眼法。

然后,恶意终止自己,方便在安装完成以后移除自己。rat并不会立即执行,而是在重启后才执行。RAT(scvhost_.exe)会捆绑一个叫sss.exe的反弹软件。该软件接受控制端发出来的指令,服务器位于:liumingzhen.zapto.org/123.51.208.69 以及 liumingzhen.myftp.org/123.51.208.69.

恶意的sss程序扮演了网络中继的角色,在恶意软件和代理服务器之间工作。同时还监听端口:8000.

为了扰乱取证调查,“2019”的文件夹被配置成为新的程序启动点,通过注册表位置可以看到:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup

当然,RAT也对基于文件系统的扫描有所提防,它可以将自己的文件大小扩展到40MB,这样可以逃过有些软件的扫描机制。(有些软件对于大文件和超大文件选择的是默认跳过的方式)。

这种很清晰的犯罪行为被混淆化以后变的越来越复杂和难以琢磨。如果你不是深入分析这些东西的话。黑客们总是采用隐形或者先进的恶意软件技术,通过对目标主机的渗透,窃取有价值的数据,得到越来越多的资料,使如今的apt攻击更加复杂,难以检测。

(译者多说一句:单凭借在企业外部对邮件系统进行过滤拦截来挫败apt攻击是不完全也是不足够的,前面的路任重而道远!)

参考翻译: http://thehackernews.com/2013/10/terminator-rat-became-more.html 


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21218800(PV) 页面执行时间:283.891(MS)
  • xml
  • 网站地图