美国网络司令部曝光朝鲜恶意软件源码
星期三, 五月 20, 2020
近日,据安全技术专家Schneier在博客透露,美国网络司令部已将朝鲜黑客组织的恶意软件样本上传到VirusTotal病毒样本存储库,并将其添加到2月份上传的恶意软件样本中。
第一个新的恶意软件变体COPPERHEDGE被描述为“远程访问工具(RAT)”,“由高级持续威胁(APT)网络参与者使用,用于锁定加密货币交易所和相关实体。”
该RAT以帮助威胁行为者执行系统侦察,在受感染系统上运行任意命令以及窃取被盗数据的能力而闻名。
被公布的第二个恶意软件TAINTEDSCRIBE是一种木马程序,具有命令模块的功能齐全的信标植入程序,旨在伪装成Microsoft的讲述人。
该木马“从命令和控制(C2)服务器下载其命令执行模块,然后具有下载、上载、删除和执行文件;启用Windows CLI访问权限;创建和终止进程;以及执行目标系统枚举的功能。”
第三个恶意软件PEBBLEDASH是又一个功能齐全的信标植入程序的朝鲜木马,并由朝鲜支持的黑客组织“用于下载、上传、删除和执行文件;启用Windows CLI访问;创建和终止进程;并执行目标系统枚举。”
Schneier指出:
有趣的是,美国政府对外国恶意软件采取了更加激进的立场。将样本公开以便所有防病毒公司都可以将其添加到扫描系统中,这很重要,可能需要进行一些复杂的解密操作。
但是名为Metaschima的读者在留言中指出:将(恶意软件代码)公开并添加到病毒定义中是一件好事。但是,防病毒软件无法使您免于此类攻击。该代码可被轻松修改,以防所有杀毒软件的攻击。抵御此类(APT)攻击要比想象中困难得多。
相关阅读