隐藏了六年的强大恶意软件正通过路由器传播

卡巴斯基实验室

研究人员已经发现了恶意软件,它在全世界感染了至少100台计算机,但它却隐藏了六年。

莫斯科卡巴斯基实验室的研究人员周五报告说:Slingshot,专家从一些恢复的恶意软件样本中找到的文本中获得了它的名字,它是有史以来发现的最先进的攻击平台之一,这意味着它可能是由资源充足的国家所开发的。Regin恶意软件以及Sauron项目是一个涉嫌由民族国家开发的单独的恶意软件。

生态系统复杂

卡巴斯基实验室的研究人员在周五发表的一份25页的报告中写道:“Slingshot的发现揭示了另一个复杂的生态系统,其中多个组件共同工作,以提供一个非常灵活的网络间谍平台。“恶意软件非常先进,从技术上解决了各种问题,并且通常以一种非常温和的方式来解决。从长远计议,结合更新和更新的组件从一流的设备中窃取信息“。

研究人员仍然不能确定Slingshot是如何最初感染所有目标。然而,在一些情况下,Slingshot运营商可以使用拉脱维亚制造商MikroTik制造的路由器,并在其中植入恶意代码。路由器技术的细节不得而知,但它们涉及使用名为Winbox的MikroTik配置实用程序来从路由器的文件系统中下载动态链接库文件。其中一个文件ipv4.dll是由Slingshot开发人员创建的恶意下载代理。Winbox将ipv4.dll传输到目标计算机,将其加载到内存中并执行它。

Slingshot常见问题解答中,研究人员写道:

该DLL连接到硬编码的IP和端口(我们都看到它是路由器的IP地址),下载其他恶意组件并运行它们。 要在具有Driver Signature Enforcement的操作系统的最新版本中以内核模式运行其代码,Slingshot会加载已签名的易受攻击的驱动程序,并通过其漏洞运行自己的代码。 感染后,Slingshot会将大量模块加载到受害设备上,其中包括两个巨大而强大的模块:内核模式模块Cahnadr和用户模式模块GollumApp。这两个模块相互连接,并能够相互支持信息收集,持续的数据泄露。 最复杂的模块是GollumApp。这包含近1,500个用户代码函数,并提供了大多数上述用于持久性,文件系统控制和C&C通信的例程。 Canhadr也被称为NDriver,包含网络,IO操作等低级例程。其内核模式程序能够执行恶意代码,而不会导致整个文件系统崩溃或造成蓝屏 - 这是一项了不起的成就。Canhadr / Ndriver以纯C语言编写,尽管存在设备安全限制,仍可完全访问硬盘驱动器和操作内存,并对各种系统组件进行完整性控制,以避免调试和安全检测。

研究人员表示,Slingshot可能已经使用其他方法,包括zero-day漏洞进行传播。自从至少2012年以来,它一直保持活跃,并在上个月保持运营。这种全功能的恶意软件能够长期保持隐藏的能力是使其如此先进的因素之一。

Slingshot隐藏自己的方式之一是使用加密的虚拟文件系统,该系统通常位于硬盘未使用的部分。通过从被感染计算机的文件系统中分离恶意软件文件,Slingshot有更好的机会保持未被防病毒引擎检测到。其他隐形技术包括加密其各种模块中的所有文本字符串,直接调用系统服务以绕过安全产品使用的所谓挂钩,以及在加载取证工具时关闭组件的能力。

恶意软件的主要目的似乎是间谍活动。卡巴斯基实验室的分析表明Slingshot用于记录桌面活动和剪贴板内容,并收集屏幕截图,键盘数据,网络数据,密码和USB连接数据。Slingshot访问操作系统内核的能力意味着恶意软件可以访问存储在硬盘驱动器或受感染机器内部存储器中的任何数据。受感染的计算机主要位于肯尼亚和也门,但也有阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚。大多数受害者似乎都是目标个体。然而,有些是政府组织和机构。

卡巴斯基实验室

公司研究人员写道:“Slingshot非常复杂,其背后的开发人员已经花费了大量的时间和金钱创建它。它的感染媒介也非常显着,而且据我们所知,这个病毒是独一无二的。”

  • 发表于:
  • 原文链接:https://arstechnica.com/information-technology/2018/03/potent-malware-that-hid-for-six-years-spread-through-routers

扫码关注云+社区

领取腾讯云代金券