世界上最著名的国家级APT恶意软件

糖果

发布于 2019-12-19 17:25:00

1.4K0

发布于 2019-12-19 17:25:00

文章被收录于专栏：糖果的实验室糖果的实验室

是的，又是大家喜欢的“假大空“的APT文章~本文介绍由各国情报部门、军事部各国情报和军事部门的网络安全部门已开发出最危险，最有效和最知名的恶意软件病毒列表：

NO 1:Regin（瑞晶）

Regin被认为是有史以来最先进的恶意软件，由米国国家安全局(NSA)开发。

在设计上，瑞晶使用“模块化”的方法，允许它加载与攻击目标相定制的功能，从而实现特定的间谍活动，使得瑞晶非常适合针对目标的持久、长期、大规模的监视。这与火焰等其他恶意软件的方法相同，有些功能还与2011年9月发现的Duqu恶意软件类似。其背后的黑客可以通过监视屏幕、远程控制等渠道来定制攻击的方法。瑞晶还可以捕获和传输密码、恢复已经删除的文件、监控网络流量。

但瑞晶采用多种隐形技术，可躲避常规反病毒软件检测，它不会在受感染的系统上存储多个文件，它经过多层加密，使用自己的加密虚拟文件系统，它包含在一个从名称上来看无害的单个文件中，并采用了很少使用的RC5密码的变体加密。

NO 2:Flame（火焰）

Flame大约从2010年开始散播，由Lua和C++语言编写，采用 5 种加密算法，3 种压缩技术，和至少 5 种文件格式(包括其专有的格式),其所包含的代码量约是之前发现的震网病毒（Stuxnet）或毒区病毒（Duqu）的20倍，在中东大范围传播。

在电脑中招后，它会利用键盘，屏幕，麦克风，移动存储设备，网络，WIFI，蓝牙，USB和系统进程等无所不用其极地收集信息，然后将用户浏览网页、通讯通话、账号密码以至键盘输入、与被感染电脑相连的智能手机、平板电脑中的文件发送给控制端，即便与控制端断开，攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制！

NO 3:Stuxnet（震网）

我以前的文章已经写过震网的事情了，它是有史以来第一个包含PLC Rootkit、以关键工业基础设施为目标的蠕虫病毒。Stuxnet同时利用微软和西门子公司产品的7个最新漏洞进行攻击。这7个漏洞中，MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统（其中MS10-046、MS10-061、MS10-073、MS10-092四个属于0day漏洞），2个针对西门子SIMATIC WinCC系统，Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，造成60%的个人电脑被感染。出手就是4个0day，就问你懵不懵？

NO 4:Shamoon（沙蒙）

Shamoon是一款旨在毁灭被攻击组织内的系统的恶意软件，其具备文件生成、网络连接、自启动、硬盘清除等功能，于2012年首次部署在沙特阿拉伯最大的石油生产公司沙特阿美的网络上。该恶意软件是会将数据上传到控制端后，会改写硬启动引导记录(MBR)以及分区表导致计算机瘫痪，其在2012年的攻击中摧毁了30000多台计算机。为了恢复运营，沙特阿美利用其庞大的私人飞机机队和可用资金购买了世界上大部分的硬盘驱动器，从而导致价格高升....

NO 5:TRITONe

Triton于2017年在沙特阿拉伯石化厂被首次发现，该恶意软件以施耐德电气Triconex安全仪表控制系统为目标进行攻击，造成中东多家能源工厂停产。SIS系统是工控的重要防线，当生产系统出现异常，SIS会执行预定程序，防止设备故障而爆炸、火灾等事件。

构造TRIRON的难点在于：

1.具备相关硬件及软件环境

2.逆向及分析产品特点及专用通信协议

3.利用分析结果，构造可造成破坏性、传播性的程序

4.将程序

NO 6:Industroyer

Industroyer是一种恶意软件框架，其可以控制断路器导致变电站断电，于2016年12月17日在乌克兰电网的网络攻击中使用。

主后门：用于控制恶意软件的所有其他组件。它连接到其远程C&C服务器，以接收来自攻击者的命令。

辅助后门：提供了一种替代的持久性机制，允许攻击者重新获得对目标网络的访问。

启动器组件：一个单独的可执行文件，负责启动有效负载组件和数据游标组件。启动器组件包含特定的激活时间和日期。

数据擦除器组件：旨在擦除系统关键的注册表项并覆盖文件，从而使系统无法启动并更难于从攻击中恢复

四个有效负载组件针对以下标准中指定的特定工业通信协议：IEC 60870-5-101，IEC 60870-5-104，IEC 61850和用于过程控制数据访问（OPC数据访问）的 OLE，这些协议广泛利用于需要电力进行控制的行业。

NO 7:DUQU

Duqu是一款具备远控功能的侦察程序，最早出现在2011年9月，大多数Duqu出现在工控系统中。

Duqu架构所使用的语言高度专业化，能够让有效负荷DLL同其它Duqu模块独立，通过多种途径包括Windows HTTP、网络端口和代理服务器同C&C建立连接。还能够让有效负荷DLL直接处理来自C&C的HTTP服务器请求，甚至可以在网络中的其它计算机上传播辅助恶意代码，实现可控制并且隐蔽的感染手段，殃及其它计算机。其为定制攻击框架，不同组件是在不同时间创建。

感染DUQU后，攻击者可下载附加模块，以丰富恶意软件的功能，其C&C通讯模块采用未知编程语言进行编写。其传播方式由攻击者的攻击指令后进行传播，攻击方式由"人"控制，与利用0DAY自动传播的蠕虫相比可以看出，它俩的目的不同，DUQU的目标为指定目标

从代码风格、设计逻辑等可以看出，DUQU和Stuxnet(震网)蠕虫应为同一个团队编写。细想，先利用DUQU收集详细数据再用Stuxnet实施精确攻击，却是合理。

NO 8:PlugX

PlugX 是一款模块化远控程序，常见于亚洲和米国，依靠执行签名和合法的可执行文件来加载恶意代码。通常，PlugX 有三个主要组件，一个 DLL，一个加密的二进制文件和一个合法且经过签名的可执行文件，使用DLL搜索顺序劫持的技术加载恶意软件。

NO 9:Uroburos

Uroburos是一种p2p传播的恶意程序，由两个文件组成：驱动和加密的虚拟文件系统，Uroburos能够窃取数据和记录网络数据流量。其模块化的结构支持攻击者通过附加功能增强恶意软件。Uroburos的驱动部分极其复杂，设计异常离散，难以辨认，由于这种灵活性和模块化它是Turla APT攻击的核心部分，早在2008年就已在欧洲，美国和中东的受感染计算机出现。目标通常包括政府实体。在45个国家/地区都可以看到它，2014年还发现了Linux变体。

NO 10:WARRIOR PRIDE

此列表中唯一的移动恶意软件，WARRIOR PRIDE是由米国国家安全局和鹰国GCHQ联合开发的工具。它可以在Android和iPhone上运行，有关它存在的消息是2014年斯诺登泄密事件发生的。

在功能方面，iPhone版本比Android版本先进得多。它可以从受感染的主机中检索任何内容，通过静默启用麦克风来收听附近的对话，并且即使手机处于睡眠模式也可以正常工作。

NO 11:Olympic Destroyer

在2018年平昌冬季奥运会开幕式期间，Olympic Destroyer被部署在网络上，电视台和记者大多受到这次袭击事件的影响。

据称，Olympic Destroyer是由鹅罗斯黑客创建，对国际奥委会的一场报复，原因是反抗俄罗斯运动员参加冬季奥运会的兴奋剂指控，以及禁止其他人在鹅罗斯国旗下的竞争。恶意软件本身就是一个信息窃取程序，它将应用程序密码转储到受感染的系统上，使得黑客用它来升级对系统的访问权限，此后他们触发数据擦除攻击，导致一些服务器和路由器崩溃。在攻击发生几个月后，即2018年6月，新的Olympic Destroye版本再次被发现。

NO 12:WARRIOR PRIDE

V**FilterV**Filter是一个多阶段、模块化具有多种功能的、可支持情报收集和破坏性网络攻击操作的恶意软件。目前正在全球蔓延，预估有54个国家遭入侵，受感染设备的数量至少为50万台。

NO 12:WannaCry

wannacry(漏洞编号：MS17-010)是首个以系统漏洞传播的勒索蠕虫(Ransomworm),全球150余个国家的20多万台计算机受到勒索蠕虫感染，造成损失多达80亿美元，众多大型企业系统及数据库文件被加密后，造成无法运作，影响非常巨大。WannaCry的变种导致中国台湾半导体制造公司（台积电）于2018年8月暂时关闭其几家芯片制造工厂，该病毒在台积电最先进设备中扩散至10000台机器。