研究人员发现新的恶意软件声称是“为气隙网络量身定做的” 安全资讯

admin 5月前 103

ESET的一位网络安全研究人员今天发布了一份新恶意软件的分析报告,并在Virustotal恶意软件扫描引擎中发现了其中的一个样本,并相信其背后的黑客可能会对某些受隔离网络保护的高价值计算机感兴趣。

这种被称为“ 拉姆齐 ”(Ramsay)的恶意软件仍在开发中,在野外发现了另外两个变种(v2.a和v2.b),根据研究人员分享的细节,它似乎还不是一个复杂的攻击框架。

但是,在进一步阅读任何内容之前,需要注意的是,该恶意软件本身并未利用任何特殊或先进的技术,这些技术可能会让攻击者跳过空白的网络来从目标计算机渗透或渗透数据。

根据ESET研究人员Ignacio Sanmillan的说法,Ramsay通过恶意文档渗透了目标计算机,这些文档有可能通过鱼叉式网络钓鱼电子邮件发送或使用USB驱动器丢弃,然后利用Microsoft Office中的旧代码执行漏洞来控制系统。

“发现这些相同的恶意文件的几个实例上传到公共沙箱的发动机,打成测试工件,例如access_test.docx或Test.docx表示持续的努力为这个特定的攻击向量的审判”的研究员表示。

Ramsay恶意软件主要包括两个主要功能:

收集目标文件系统中所有现有的Word文档,PDF和ZIP存档,并将它们存储到同一系统上的预定义位置,或者直接存储到网络或可移动驱动器。

通过感染网络共享和可移动驱动器上所有可用的可执行文件,将自身传播到同一隔离设施中正在使用的其他计算机。

据研究人员称,他们发现的Ramsay样本没有基于网络的C&C通信协议,也没有任何尝试出于通信目的连接到远程主机的尝试。

现在出现了一个问题,即攻击者应该如何从受感染的系统中窃取数据。

坦白地说,目前尚无明确答案,但研究人员推测,该恶意软件可能是针对“空缺网络”量身定制的,具有类似的情况-考虑到唯一的选择是物理访问计算机并窃取收集的数据与武器化的USB。

ESET研究人员说:“重要的是要注意,目标驱动器Ramsay扫描之间存在关联,以进行传播和控制文档的检索。”

 

“这评估了拉姆齐的传播能力和控制能力之间的关系,显示了拉姆齐的运营商如何利用横向运动框架,表明该框架被设计为在气隙网络内运行的可能性。”

“目标的当前可见性很低;根据ESET的遥测技术,到目前为止,发现的受害者很少。我们认为,受害者的这种稀缺性进一步证明了该框架正在持续发展的假设,尽管受害者的可见性也很低。他补充说,由于目标系统存在于气隙网络中,

因此,缺乏技术和统计证据尚不支持这一理论,并且仍然存在广泛的猜测。

此外,由于该恶意软件仍在开发中,因此现在就确定该恶意软件是否仅设计为针对气隙网络为时过早。

未来版本的恶意软件可能会暗示与远程攻击者控制的服务器连接,以接收命令并窃取数据。

我们已与ESET研究人员联系,以进一步阐明“气隙”的说法,并在其回答后将更新此故事。

更新:研究人员解释了“气隙”情况

发现并分析了拉姆齐恶意软件的研究员Ignacio Sanmillan为我们的读者提供了以下解释。

“我们只有Ramsay代理的一个副本,该副本仅具有用于以非常分散和隐蔽的方式在受感染主机的本地文件系统上聚合和压缩被盗数据的代码。基于此,我们假定另一个组件负责扫描文件系统,找到压缩文件,然后执行实际的渗透。”

在询问攻击者是否需要依靠物理访问进行数据泄露时,Sanmillan说:

“攻击者可以通过多种方式执行此操作。我们尚未看到执行此操作的方法;但是,我们对攻击者如何执行此操作有一些假设。这些只是我们目前受过良好教育的猜测和纯粹的推测,因此请按原样对待这两个假设方案。”

“ 场景1 –想象一下连接到Internet并在Ramsay运营商完全控制下的系统A和系统B,这是一台被Ramsay代理感染的空白计算机。然后想象一下,那些系统的合法用户偶尔会在两个系统之间传输文件使用可移动驱动器。”

“将驱动器插入系统A后,攻击者可以决定在移动驱动器上放置一个特殊的控制文件,当将其连接到系统B时,该文件将使Ramsay代理执行Ramsay窃听器,该窃听器将被构造来检索分段的窃取的数据并将其复制到可移动驱动器中,以便在可移动驱动器连接至系统A后再进行检索。这种情况是Sednit / APT28操作USBStealer的方式的变体。”

“ USBStealer在系统A和系统B之间使用的可移动驱动器上系统地复制了被窃取的数据,而拉姆齐则在本地暂存了被窃取的数据,以便将来进行显式渗透。”

“ 方案2-想象一下,拉姆齐代理运行在空气跳空网络几天或几周内,分期对本地文件系统中所有能找到网络驱动器上的数据和所有得到连接到系统的可移动驱动器“。

“然后,在某些时候,攻击者认为这是渗透时间。他将需要获得对受感染系统的物理访问权,或者获得执行代码的权限以运行Ramsay渗透程序,或者如果系统没有全盘加密,请从可移动驱动器启动系统,挂载文件系统,并将其解析为检索分段良好的被盗数据并离开。”

“这种情况更加复杂,需要手术人员/同伙的实际参与,但仍可能是合理的,因为这将允许非常快速的现场手术。”

为了回答恶意软件作者是否可以在将来的版本中集成远程C&C通信模块,研究人员说:

“ Ramsay在其版本之间实现了一系列通用功能,即基于控制文件的协议以及如何检索此协议中涉及的工件。来自可移动媒体和网络共享。”

“这表示在设计此恶意软件时已考虑了对这些技术的评估,所有这些都指向无需任何网络连接即可实现操作功能的实现。”

“看来,如果攻击者利用依赖于网络工件的技术,就不会与这种恶意软件的哲学思想联系在一起。我们确实认为Ramsay可能正在开发中,但是我们非常倾向于相信他们不会引入基于网络的产品。渗透成分。”


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:微软针对逆向RDP攻击的补丁不当使第三方RDP客户端易受攻击
下一篇:信息安全威胁感知的偏见
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回