政府黑客使用无文件技术投放远程控制木马

简介: 本文讲的是 政府黑客使用无文件技术投放远程控制木马,亚洲的国家黑客正使用一种新技术投放远程控制木马,回避安全产品的检测。

本文讲的是 政府黑客使用无文件技术投放远程控制木马,亚洲的国家黑客正使用一种新技术投放远程控制木马,回避安全产品的检测。

image

终端安全公司SentinelOne发布消息称,这些威胁小组使用的方法能够将远程控制木马注入到受害设备的内存。反病毒软件、甚至是更新型的技术,只要基于文件检测,就无法发现此类威胁。

研究人员通过分析攻击过程发现,硬盘上的确被写入了一些新文件,但恶意载荷从未在未经加密的状况下触及硬盘。

约瑟夫·兰德瑞 (Joseph Landry) 是SentinelOne公司的高级安全研究人员,他对媒体表示,亚洲多个国家的政府黑客正使用这一技术。尽管此类攻击主要出现在亚洲范围内,但也存在黑客使用该技术对付世界其它地方的政府及企业的可能性。

SentinelOne披露了一种使用已知远程控制木马NanoCore(也即Nancrat) 的攻击,它让攻击者能够监视受害者。然而,专家也同时指出,该技术能够用于投放任意类型的木马。

首次在系统上执行时,恶意软件会在%APPDATA%文件夹下创建两个二进制文件并运行。为了保持自身持续存在,软件会创建一个注册表键,指向两个文件之一。

另有一个加密过的DLL被用于解包并将解密后的远程控制木马注入到内存。该DLL和NanoCore可执行文件本身的设置是通过多个PNG图像文件的像素数据存储的。

image

在全部组件解密之后,使用多种Win32 API和系统调用,可将NanoCore恶意载荷注入到新进程中。

SentinelOne公司的博客上详细介绍了这种感染手段。

无文件感染技术已经在多种类型的攻击中出现,这些攻击中使用了漏洞利用包、勒索软件和点击欺诈恶意软件。

原文发布时间为: 四月 25, 2016
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/15329.html

相关文章
|
安全 程序员
黑客为什么不攻击网贷平台?
黑客还会在乎你是不是网贷平台,只要是能上网的电脑,黑客都可以触及到,不是所有的黑客都会选择攻击,真正意义上的黑客,做事情点到为止,只是测试下自己的能力或者打破某些谣言,因为黑客选择主要目标是偷偷做坏事或者狂妄的人,即使这样也只是先警告一下,纯正意义上的黑客,如同中国古代的侠客,水平高的一塌糊涂,但又不轻易动手杀人,视声誉如生命,来无形去无踪。
1662 0
|
安全
安全公司:木马程序仍是互联网上最主要威胁
据安全公司比特梵德(BitDefender)在日前发表的4月份调查报告中称,木马程序仍在继续在互联网上传播,是互联网用户面临的最恶毒的威胁排行榜中的主要威胁。   比特梵德称,只有包括“Conficker”蠕虫在内的几个蠕虫、利用漏洞的代码和病毒打破了它所说的“木马炫耀”。
842 0
|
安全 PHP
数据显示社交网站成黑客发动攻击重要渠道
根据Cellopoint Global Anti-spam Center最新的监控数据显示,因为社交网站(SNS, Social Networking Site)的流行,黑客攻击目标从传统的email逐渐转移至此,其中特别热门的Facebook、Plurk、Twitter等网站就成为主要目标;攻击手法则结合木马程序、僵尸网络、社交工程及邮件钓鱼技术,成为安全威胁新趋势。
1238 0
|
安全 Android开发 数据安全/隐私保护
|
监控 安全 物联网
黑名单:哪些家庭产品最易遭受黑客入侵?
本文讲的是黑名单:哪些家庭产品最易遭受黑客入侵?,无论销售商吹嘘他们的产品有多么智能,都无法否认这样一个事实:许多智能家居产品非常易受黑客攻击。现在即便你的前门已经上了锁也无法阻止网络攻击的发生。
1699 0
|
安全 区块链 数据安全/隐私保护
纽瓦克市政厅电脑遭勒索软件劫持,部分公共服务被迫瘫痪
本文讲的是纽瓦克市政厅电脑遭勒索软件劫持,部分公共服务被迫瘫痪,根据TAPInto Newark获取的文件,以及一位了解黑客知识的市政厅官方所言,纽瓦克市政厅的一些电脑已经被勒索软件感染,目前无法使用。黑客要求受害人支付24比特币或约3万美元的赎金,才会帮助其恢复电脑。
1336 0