当前位置: 首页>>撸妹 >>FireEye,微软Outsmart聪明的中国恶意软件

FireEye,微软Outsmart聪明的中国恶意软件

添加时间:    

据消息人士周四发布的报告,FireEye和微软已经在一系列基于中国的网络犯罪分子利用IT专业论坛来隐藏恶意行为。

中国“APT17”团伙设计了这个方案,该方案使用微软TechNet上的论坛页面和个人资料来覆盖来自受黑客组织黑客恶意软件感染的机器的流量,FireEye在报告中解释为“隐藏在平淡的视野: FireEye公开中文APT混淆策略“。

恶意软件通常会从网上歹徒操作的命令与控制服务器接收关于其在计算机上执行的恶意活动的指令。这些服务器通常由网络维护者识别;当受感染的机器打电话给其中一个人时,它会使防御者感到不舒服,从而使他们清理设备。

APT17做了什么设计黑咖啡发送它的命令和控制流量到TechNet,所以它似乎净捍卫者好像感染的机器正在联系一个合法的网站。然后,黑客利用他们创建的站点上的配置文件联系恶意软件的命令与控制服务器,并向受感染的计算机发送指令。 FireEye的威胁情报经理Laura Galante说:“APT17使用网站的合法功能进行通信的最新策略显示了组织如何检测和防止高级威胁。她补充说:“鉴于其有效性,我们预计这种编码和混淆将成为世界各地威胁行为者采用的真正普遍的策略。”

什么使得战术难以确定的是它隐藏在合法网络流量中的活动。

FireEye公司的情报业务经理Mike Oppenheim说:“如果你正在研究受黑咖啡感染的网络上的网络流量,你只会看到微软TechNet的出站请求。

他告诉TechNewsWorld:“由于TechNet被全球IT专业人员和IT安全专业人士广泛使用,所以您只会认为这是从我的网络到Microsoft TechNet的合法流量”。一旦FireEye计算出APT17方案的机制,它就会向微软提醒这种情况,两家公司一起努力解决后门恶意软件的问题。首先,他们在恶性档案页面上将他们的代码替换为APT17代码,并将黑咖啡流量重定向到由FireEye控制的站点。然后微软锁定了个人资料页面,所以他们不能被APT17改变。但是,这并不能阻止APT17或任何其他威胁演员在别处使用该技术 - 甚至再次在TechNet上以不同的名义使用该技术。奥本海姆说:“这绝对是一件很难处理的事情。

APT17已经有针对美国政府实体和国际非政府组织和私营公司的历史,包括国防工业,律师事务所,信息技术公司和矿业公司,注意到FireEye。

为了对命令和控制通信进行编码,它是小型但数量日益增多的团体之一,它们选择了流行网站的合法用途。此前,APT17使用Google和Bing来混淆其活动和主机位置。

APT17的TechNet诡计代表了中国黑客的战术转变,全球信息安全研究人员Bill Hagestad II和中国网络战几本书的作者。他告诉TechNewsWorld:“他们正在从防守到攻势,以确保他们的网络空间。哈格斯塔德说:“他们也在使用我们分享信息的方法。

“我们都去网站寻求帮助 - 从如何改变自行车轮胎到改变我们的汽车上的油 - 有帮助的人通常会张贴链接获取更多信息。没有人测试这些链接的合法性引导人们,“他指出。 Hagestad补充说:“在西方,每个人都以假定我们互相帮助的方式分享信息。 “中国人已经看到,作为一个途径,他们可以利用和使用我们的分享规则 技术信息反对我们“

John Mello 是一位自由撰稿人,为首席安全官杂志撰稿人,您可以在Google+上与他联系

随机推荐

网站导航 福利地图