查看: 3788|回复: 0
收起左侧

[分享] 防鼠也要防猫:0day检测工具也会做坏事

[复制链接]
白露为霜
发表于 2015-11-27 21:55:11 | 显示全部楼层 |阅读模式


对一些企业、机构来说,这些天不仅要考虑0day漏洞的威胁问题,还要担心0day检测(zero detection)恶意软件的威胁。最近几周内,安全厂商第二次发出警告称一个恶意软件工具暗地里针对受害者长达数年没被检测到。

RSA安全研究员发现了一个 “zero detection”远程管理工具(RAT)叫做GlassRAT,签名证书似乎是盗用中国某流行软件开发公司的证书,而且主要针对的是跨国公司中的中国华侨。其实早在2012年的时候这个恶意软件就出现了,只不过一直没被发现。
大部分杀毒软件检测不到GlassRAT
GlassRAT对大部分的杀毒工具来说是“透明的”,只能通过网络取证和专门的终端系统检测工具才能检测的到。RSA研究者对GlassRAT的描述是:作为一个设计良好的远程访问木马,通常会被以一种高度针对性的方式使用。木马程序会在受害者系统上释放一个有数字签名的payload,并且在完成任务之后会自动从系统上删除自我。安装成功后,恶意文件本身会一直保留在系统上,且不会被终端反病毒工具检测到。
恶意软件还能提供反向shell的功能,GlassRAT幕后的攻击者可远程直接连接该恶意软件。它的目的是窃取数据、传输文件和系统信息给攻击者。
GlassRAT之所以引人注意,不是因为它是什么,而是因为它来自哪里,谁在使用它,使用它的目的是什么。从GlassRAT现有的信息可以看出,它使用的C2基础设施是数十年前一些大的恶意软件活动所使用的基础设施。例如安全研究员检测到两个GlassRAT相关的域名,和之前针对蒙古、菲律宾军事和政府机构的恶意活动Mirage和PlugX 有关。

GlassRAT所代表的威胁不应该被低估,因为也许还有很多未发现或者没能发现的样本存在。另外,识别这些攻击的潜在起因同样也至关重要,一旦检测到这类的恶意软件,可以帮助我们更好的认识风险的存在。
报告原文
* 参考来源:darkreading,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 04:33 , Processed in 0.576000 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表