美國網絡司令部曝光朝鮮惡意軟件源碼
責編:gltian |2020-05-21 16:45:44近日,據安全技術專家Schneier在博客透露,美國網絡司令部已將朝鮮黑客組織的惡意軟件樣本上傳到VirusTotal病毒樣本存儲庫,并將其添加到2月份上傳的惡意軟件樣本中。
第一個新的惡意軟件變體COPPERHEDGE被描述為“遠程訪問工具(RAT)”,“由高級持續威脅(APT)網絡參與者使用,用于鎖定加密貨幣交易所和相關實體。”
該RAT以幫助威脅行為者執行系統偵察,在受感染系統上運行任意命令以及竊取被盜數據的能力而聞名。
被公布的第二個惡意軟件TAINTEDSCRIBE是一種木馬程序,具有命令模塊的功能齊全的信標植入程序,旨在偽裝成Microsoft的講述人。
該木馬“從命令和控制(C2)服務器下載其命令執行模塊,然后具有下載、上載、刪除和執行文件;啟用Windows CLI訪問權限;創建和終止進程;以及執行目標系統枚舉的功能。”
第三個惡意軟件PEBBLEDASH是又一個功能齊全的信標植入程序的朝鮮木馬,并由朝鮮支持的黑客組織“用于下載、上傳、刪除和執行文件;啟用Windows CLI訪問;創建和終止進程;并執行目標系統枚舉。”
Schneier指出:
有趣的是,美國政府對外國惡意軟件采取了更加激進的立場。將樣本公開以便所有防病毒公司都可以將其添加到掃描系統中,這很重要,可能需要進行一些復雜的解密操作。
但是名為Metaschima的讀者在留言中指出:將(惡意軟件代碼)公開并添加到病毒定義中是一件好事。但是,防病毒軟件無法使您免于此類攻擊。該代碼可被輕松修改,以防所有殺毒軟件的攻擊。抵御此類(APT)攻擊要比想象中困難得多。