转载

防鼠也要防猫:0day检测工具也会做坏事

对一些企业、机构来说,这些天不仅要考虑0day漏洞的威胁问题,还要担心0day检测(zero detection)恶意软件的威胁。最近几周内,安全厂商第二次发出警告称一个恶意软件工具暗地里针对受害者长达数年没被检测到。

RSA安全研究员发现了一个 “zero detection”远程管理工具(RAT)叫做GlassRAT,签名证书似乎是盗用中国某流行软件开发公司的证书,而且主要针对的是跨国公司中的中国华侨。其实早在2012年的时候这个恶意软件就出现了,只不过一直没被发现。

防鼠也要防猫:0day检测工具也会做坏事

大部分杀毒软件检测不到GlassRAT

GlassRAT对大部分的杀毒工具来说是“透明的”,只能通过网络取证和专门的终端系统检测工具才能检测的到。RSA研究者对GlassRAT的描述是:作为一个设计良好的远程访问木马,通常会被以一种高度针对性的方式使用。木马程序会在受害者系统上释放一个有数字签名的payload,并且在完成任务之后会自动从系统上删除自我。安装成功后,恶意文件本身会一直保留在系统上,且不会被终端反病毒工具检测到。

恶意软件还能提供反向shell的功能,GlassRAT幕后的攻击者可远程直接连接该恶意软件。它的目的是窃取数据、传输文件和系统信息给攻击者。

GlassRAT之所以引人注意,不是因为它是什么,而是因为它来自哪里,谁在使用它,使用它的目的是什么。

从GlassRAT现有的信息可以看出,它使用的C2基础设施是数十年前一些大的恶意软件活动所使用的基础设施。例如安全研究员检测到两个GlassRAT相关的域名,和之前针对蒙古和菲律宾军事和政府机构恶意活动Mirage和PlugX 有关。

GlassRAT所代表的威胁不应该被低估,因为也许还有很多未发现或者没能发现的样本存在。另外,识别这些攻击的潜在起因同样也至关重要,一旦检测到这类的恶意软件,可以帮助我们更好的认识风险的存在。

附 报告原文 !

* 参考来源: darkreading ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...