弹弓路由器恶意软件:为企业警告
从2012年2月到2012年2月的中东和非洲在中东和非洲的复杂恶意软件展示了网络犯罪分子可以针对企业的另一种方式。
恶意软件,被Kaspersky Lab安全研究人员称为Slingshot,他们发现了它,攻击和感知受害者通过受损的Microtik路由器,可以在内核模式下运行,使其完全控制受害者的设备。
据研究人员来说,这种威胁演员使用的许多技术都是独一无二的,使弹弓非常有效地收集,因为它隐藏了它在没有跟踪的日常通信中拦截其流量。
在研究人员发现一个可疑的键盘记录程序并创建行为检测签名后发现了弹弓操作,以查看该代码是否出现了其他任何地方。
这导致了发现名为scesrv.dll的系统文件夹内的可疑文件的可疑文件,并且对文件的分析显示,尽管出现了合法,但scesrv.dll模块将恶意代码嵌入到它中。
由于此库由“Services.exe”加载,因此中毒库获得了具有系统权限的进程,因此获得了相同的权限,使高度高级入侵者能够进入计算机的非常核心。
进一步调查显示,受害者已通过通过在它们内部的恶意动态链接库受到损害的路由器感染,这是恶意组件的下载器。
研究人员表示,路由器的管理软件下载并运行恶意模块,但是,研究人员表示,用于损害第一名中的Microtik路由器的方法仍然未知。
研究人员发现,SlingShot加载了许多模块,包括Cahnadr和Gollumapp,包括Cahnadr和Gollumapp,它们在信息收集,持久性和数据exfiltation中相互支持,并且能够互相支持。
他们说,弹弓的主要目的似乎是网络间谍活动,因为它收集屏幕截图,键盘数据,网络数据,密码,USB连接,其他桌面活动,剪贴板数据等。研究人员说,恶意软件的内核访问意味着它可以窃取它想要的任何东西。
先进的持久威胁(APT)也包含了许多技术来帮助它逃避检测,包括使用许多反调试技术加密其模块中的所有字符串,并选择根据安全控件的内容注入哪个进程地方。
Slingshot旨在作为“被动后门”,因为它没有具有硬件指令和控制(C&C)地址,而是通过拦截内核模式下的所有网络包并检查以查看IF,从操作员获取标题中有两个硬编码的“魔术常数”。如果是这种情况,它意味着包包含C&C地址。
在此之后,Slingshot为C&C建立了加密的通信信道,并开始传输数据以便在研究人员中传输exfiltration的数据。
研究人员表示,创建弹簧复杂工具集的开发时间,技能和成本可能是极高的,表明弹弓的集团可能是高度组织的,专业,可能是国家赞助的。
代码中的文本线索表明,Slingshot背后的小组是英语,但研究人员注意到,准确的归属总是困难,如果不是不可能确定,并且越来越容易操纵和错误。
“弹弓是一种复杂的威胁,采用广泛的工具和技术,包括迄今为止在最先进的掠夺者中看到的内核模式模块,”Kaspersky Lab的Lead Malware分析师援助alexey shulmin援助。“该功能对于攻击者来说是非常珍贵和有利可图的,这可以解释为什么它至少六年了。”
虽然研究人员只有大约100个弹弓及其相关模块的受害者,但大多数似乎都是针对性的,企业需要注意并采取预防措施,说安全评论员。
“国内联系和用户通常提供低辩护,因此,欧洲,中东和非洲安排坚定的公司Vectra主任Matt Walmsley表示,犯罪分子将在家定位。”
“将APT放在家中的用户将为他们提供一只脚踏板 - 使它们无辜地将受损的电脑绕过工作环境,绕过任何周边防御。
“移动和BYOD [带上您自己的设备]所有带来风险需要快速检测和反应公司网络内部妥协指标。大多数组织都有周边防御,以及在他们的家用控制PC上的某种防病毒终点。然而,许多组织对内部网络发生的邪恶活动视为攻击者协调,侦察,移动,升级权限和窃取或操纵数据。“
Walmsley表示,弹弓是一个六岁的竞选活动表明,威胁检测差距是活跃的,特别是对于先进的攻击,威尔姆斯利表示。
他说,虽然基于传统的签名的方法在发现以前看不见的威胁和未知的威胁中,但他说,有多种方法可以找到以前看不见的妇女。
“基于行为的方法需要发现折衷的弱势信号,以确定网络内的入侵后攻击者活动,但这可能是一个费力和缓慢,如果手动执行,则提供较差的结果,”他说。
“认识到这种”检测差距“的企业越来越多地迁移到可以自动运行的自动威胁狩猎工具。使用人工智能[AI],企业可以检测隐藏的攻击者行为,关联和提供证据,以及攻击的拉动上下文,并将其集成到安全事件响应工作流程中,以自动化一些或全部响应操作。
“在这方面,AI可以释放安全分析师的时间来制定快速,知情的决策,同时能够对主动威胁进行敏捷的反应,减少攻击者停留时间,最终是业务风险。”
Walmsley补充说:“任何防御都是不完善的 - 这就是为什么企业需要建立他们的检测和响应能力,以确保它们具有自适应安全架构,这些安全架构捍卫它可以的内容,并快速检测和响应它无法响应的安全架构。”
他说Slingshot强调了产品开发人员管理其数字供应链风险,并确保其产品中使用的软件图书馆和模块没有受到影响,或者可以检测到任何折衷。为了防御这种类型的攻击,最终用户组织应确保他们始终使用最新版本的代码来降低已知漏洞的风险。
“除了保持操作系统和固件的情况下,能够从互联网连接和基础设施设备中发现流氓行为很重要,”Walmsley说。
卡巴斯基实验室建议:
Mikrotik路由器用户应该尽快升级到最新的软件版本。商业化合物使用验证的公司级安全系统与反目标攻击技术和威胁情报组合使用。Organations提供了可访问最新威胁情报数据的安全人员,这些将在有用的工具中使用有针对性的攻击研究和预防的工具.IF企业现货目的攻击的早期指标,他们考虑托管保护服务以检测先进的威胁,减少停留时间并实现及时的事件响应。