卡巴斯基:WinDealer恶意软件表现出极为复杂的网络能力
2022-06-15 10:06:41爱云资讯阅读量:715
卡巴斯基研究人员发现一种被称为WinDealer的能够通过旁观者攻击进行入侵的恶意软件,该恶意软件由讲中文的高级可持续威胁(APT)行为者LuoYu传播。这一突破性的发展允许威胁行为者修改传输中的网络流量以插入恶意有效载荷。这种攻击非常危险且具有破坏性,因为攻击不需要与目标进行任何互动就能成功导致感染。
根据TeamT5的调查结果,卡巴斯基研究人员发现威胁运营者应用于传播WinDealer恶意软件的一种新的传播方法。具体来说,他们使用了一种旁观者攻击方式来读取流量并插入新的信息。旁观者攻击的通常概念是当攻击者看到对网络上特定资源的请求时(通过其拦截功能或在ISP网络中的战略位置),攻击者会试图比合法服务器更快地回复受害者。如果攻击者赢得了这场“竞赛”,目标计算机就会试用攻击者提供的数据,而非正常的数据。即使攻击者没有赢得大多数“竞赛”,他们也可以再次尝试,直到他们成功,保证他们最终会感染大多数设备。
成功进行攻击后,目标设备会收到一个间谍软件应用,能够收集大量信息。攻击者将能够查看和下载存储在设备上的任何文件,并对所有文档进行关键词搜索。通常情况下,LuoYu的攻击目标是在中国的外国外交组织和学术界成员,此外还包括国防、物流以及电信公司。该威胁行为者使用WinDealer恶意软件来攻击Windows设备。
通常情况下,恶意软件包含一个硬编码的命令和控制服务器,恶意软件运营者从那里控制整个系统。如果获取到有关该服务器的信息,就有可能拦截恶意软件与之交互的计算机的IP地址,从而消除威胁。但是,WinDealer依靠复杂的IP生成算法来确定要联系的计算机。这包括48,000个IP地址的范围,使得操作者几乎不可能控制哪怕是一小部分的地址。解释这种看似不可能的网络行为的唯一方法是假设攻击者在该 IP 范围内具有强大的拦截能力,甚至可以读取没有到达目的地的网络数据包。
旁观者攻击的危害性非常大,因为它不需要与受攻击目标进行任何互动,就可以成功感染:仅需一台连接到互联网的计算机就足够了。不仅如此,除了通过另一个网络路由流量外,用户无法采取任何措施来保护自己。这可以通过VPN来实现,但根据用户地理位置,这可能是一种无法使用的方法,并且通常不适用于中国公民。
大多数LuoYu的受害者都位于中国,所以卡巴斯基专家认为LuoYu这个APT组织的主要攻击目标是讲中文的受害者和与中国有关的组织。但是,卡巴斯基研究人员还注意到其他国家也存在攻击,例如德国、奥地利、美国、杰克、俄罗斯和印度。
WinDealer攻击的地理分布趋势
“LuoYu是一个非常复杂的威胁行为者,能够利用只有最成熟的攻击者才能使用的功能。我们只能推测他们是如何发展这种能力的。旁观者攻击极具破坏性,因为攻击设备所需的唯一条件是将其连接到互联网。即使第一次攻击失败,攻击者也可以一遍又一遍地重复该过程,直到他们成功为止。他们就是这样针对其受害者进行极度危险和成功的间谍攻击的,这些受害者通常包括外交官、科学家和其他关键部门的员工。无论攻击是如何进行的,潜在受害者保护自己的唯一方法是保持高警惕性,并运用强大的安全程序,例如定期进行反病毒扫描,分析出站网络流量和进行广泛的日志记录,以检测异常情况,”卡巴斯基全球研究与分析团队(GReAT)高级安全研究员Suguru Ishimaru评论说。
要阅读有关WinDealer的报告全文,请访问Securelist。
为了保护自己免受此类高级威胁的侵害,卡巴斯基建议:
采用强大的安全程序,包括定期进行反病毒扫描,分析出站网络流量和进行广泛的日志记录,以检测异常情况
对您的网络进行网络安全审计,并修复在网络外围或网络内部发现的任何弱点。
安装反APT和EDR解决方案,并启用威胁发现和检测、调查功能以及及时的事件修复功能。为你的SOC团队提供对最新威胁情报的访问,利用专业培训定期提升他们的技能。上述所有服务均可通过卡巴斯基专家安全框架获取。
除了适当的端点保护外,专门的服务可以帮助应对引人注目的攻击。卡巴斯基管理检测和响应服务能够帮助在攻击者实现其目标之前,在早期阶段识别和阻止攻击。
相关文章
- 卡巴斯基检测到针对包含漏洞的Windows驱动程序的攻击增加了23%
- 卡巴斯基以人工智能为重点的课程模块扩展其自动化安全意识平台
- 卡巴斯基扩展检测与响应现可在业务基础设施中实施
- 卡巴斯基瘦客户端 2.0:具有增强连接性、性能和设计的网络免疫保护
- 卡巴斯基发现每两台设备中就有一台感染了 Redline 数据窃取恶意软件
- 卡巴斯基发现,53%感染数据窃取恶意软件的设备是企业设备
- 卡巴斯基报告表示,2023年下半年针对石油和天然气行业的攻击有所增加
- 卡巴斯基315,安全与优惠的双重守护
- 卡巴斯基与香港警察紧密合作,共同打击网络犯罪,维护网络安全
- 卡巴斯基新年网络安全及电信诈骗安全提醒:守护您的数字生活
- 卡巴斯基工业网络安全现在提供集中式安全审计和高级XDR功能
- 卡巴斯基SD-WAN:保护地理分布式网络的新解决方案
- 卡巴斯基专家称:人工智能会引发“痛苦疏远综合症”
- 卡巴斯基积极布局中国市场,扩展业务领域迎接未来发展
- 安全中国,筑梦未来|卡巴斯基2023大中华区合作伙伴峰会
- 卡巴斯基发现Lazarus的子组织Andariel使用的新恶意软件家族