设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

防鼠也要防猫:0day检测工具也会做坏事

2015-11-27 15:55| 发布者: 随便、先森。| 查看: 2709| 评论: 0

摘要: 对一些企业、机构来说,这些天不仅要考虑0day漏洞的威胁问题,还要担心0day检测(zero detection)恶意软件的威胁。最近几周内,安全厂商第二次发出警告称一个恶意软件工具暗地里针对受害者长达数年没被检测到。RSA ...

对一些企业、机构来说,这些天不仅要考虑0day漏洞的威胁问题,还要担心0day检测(zero detection)恶意软件的威胁。最近几周内,安全厂商第二次发出警告称一个恶意软件工具暗地里针对受害者长达数年没被检测到。

RSA安全研究员发现了一个 “zero detection”远程管理工具(RAT)叫做GlassRAT,签名证书似乎是盗用中国某流行软件开发公司的证书,而且主要针对的是跨国公司中的中国华侨。其实早在2012年的时候这个恶意软件就出现了,只不过一直没被发现。

大部分杀毒软件检测不到GlassRAT

GlassRAT对大部分的杀毒工具来说是“透明的”,只能通过网络取证和专门的终端系统检测工具才能检测的到。RSA研究者对GlassRAT的描述是:作为一个设计良好的远程访问木马,通常会被以一种高度针对性的方式使用。木马程序会在受害者系统上释放一个有数字签名的payload,并且在完成任务之后会自动从系统上删除自我。安装成功后,恶意文件本身会一直保留在系统上,且不会被终端反病毒工具检测到。

恶意软件还能提供反向shell的功能,GlassRAT幕后的攻击者可远程直接连接该恶意软件。它的目的是窃取数据、传输文件和系统信息给攻击者。

GlassRAT之所以引人注意,不是因为它是什么,而是因为它来自哪里,谁在使用它,使用它的目的是什么。

从GlassRAT现有的信息可以看出,它使用的C2基础设施是数十年前一些大的恶意软件活动所使用的基础设施。例如安全研究员检测到两个GlassRAT相关的域名,和之前针对蒙古和菲律宾军事和政府机构恶意活动Mirage和PlugX 有关。

GlassRAT所代表的威胁不应该被低估,因为也许还有很多未发现或者没能发现的样本存在。另外,识别这些攻击的潜在起因同样也至关重要,一旦检测到这类的恶意软件,可以帮助我们更好的认识风险的存在。

报告原文

* 参考来源:darkreading


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
分享个ddos网页端反射攻击的API源码
分享个ddos网页端反
先上图 实测源码没问题 API服务器需要安装SSH2扩展库 其他的按照源码里的注释配置
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
返回顶部