“DNSpionage”一个新的具有选择性的目标策略“Karkoff”

华盟学院山东省第二期线下学习计划

臭名昭著的DNSpionage恶意软件运动背后的网络犯罪集团被发现正在进行一项新的复杂操作,用DNSpionage恶意软件的新变种感染选定的受害者。

去年11月首次发现的DNSpionage攻击使用了受攻击的网站,并编写了恶意文档,用DNSpionage感染受害者的电脑。DNSpionage是一种定制的远程管理工具,使用HTTP和DNS通信与攻击者控制的命令和控制服务器通信。

思科塔洛斯威胁研究团队(Talos threat research team)发布的一份新报告显示,该集团已采取了一些新策略、新技术和新程序,以提高其运营效率,使其网络攻击更具针对性、组织性和复杂性。
与之前的攻击行动不同,攻击者现在已经开始对受害者进行侦察,然后用一种名为Karkoff的新恶意软件感染他们,使他们能够有选择地选择要感染哪些目标,以便不被发现。
研究人员说:“我们发现了DNSpionage和Karkoff病例中的基础设施重叠。”
在侦察阶段,攻击者收集与工作站环境、操作系统、域和受害者机器上正在运行的进程列表相关的系统信息。

恶意软件会搜索两个特定的反病毒平台:Avira和Avast。如果其中一个安全产品安装在系统上,并在侦察阶段识别出来,就会设置一个特定的标志,忽略配置文件中的一些选项,”研究人员说。

在.net中开发的Karkoff允许攻击者从他们的C&C服务器远程执行受攻击主机上的任意代码。本月早些时候,思科塔洛斯(Cisco Talos)认定卡卡夫是非法的恶意软件。

有趣的是,Karkoff恶意软件会在受害者的系统上生成一个日志文件,其中包含它执行的带有时间戳的所有命令的列表。

研究人员解释说:“这个日志文件可以很容易地用来创建命令执行的时间轴,这在应对这种类型的威胁时非常有用。”

“考虑到这一点,被这种恶意软件破坏的组织将有机会检查日志文件,并识别针对它们执行的命令。”

www.idc126.com

与上次DNSpionage行动一样,最近发现的袭击也针对中东地区,包括黎巴嫩和阿联酋。

除了禁用宏和使用可靠的杀毒软件外,最重要的是要保持警惕,让自己了解社会工程技术,以降低成为此类攻击的受害者的风险。
由于几起DNS劫持攻击的公开报告,美国国土安全部(DHS)今年早些时候向所有联邦机构发布了一项“紧急指令”,命令IT人员为各自的网站域名或其他机构管理的域名审计DNS记录。
华盟君点评:DNS劫持攻击是近年来攻击频率比较高的,虽然说目前这个恶意软件不在针对我们这里,但是也要当成一个预警,安全上网。 上网千万条,安全第一条,上网不注意,数据两行泪