天创培训:您身旁的信息安全培训专家!
栏目列表
开班方案
主讲教师   张教师、王教师等
开课工夫   2019年1月8日-13日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
金莎网站
最新更新
金沙js55怎么上不了
行业动态您当前位置: >  > 

网络特务构造Tick经由过程U盘传染未联网计算机

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2018-06-26  关键词:,

金莎网站

Tick是次要针对日本和韩国构造的网络特务活动构造。该构造以用各类定制歹意软件停止进犯活动而恶名昭彰,如Minzen、Datper、Nioupale(别名Daserf)和HomamDownloader。近来,帕洛阿尔托网络公司第42单位(后文称Unit 42)针对他们有了新的发明。

Unit 42发觉Tick构造目的为由韩国防务公司创立的特定范例的安全USB驱动器。USB驱动器及其管理体系具有遵照韩国安全指南的各类功用。安全USB驱动器的兵器化是一种不常见的进犯手艺,能够是为了扩展到无法毗连到大众互联网的体系而施行的。另外,经Unit 42研讨表白,虽然歹意软件创立工夫为新版Windows投入使用后,但Tick在攻击中利用的歹意软件只会测验考试传染运转Microsoft Windows XP或Windows Server 2003的体系。这仿佛表白他们故意针对安装在没有互联网毗连的体系上的旧版本的Microsoft Windows。在很多国度、当局、戎行和国防承包商以及其他垂直行业因安全身分都接纳空地体系。(注:空地是为需求密封安全性的计算机,计算机系统或网络施行的安全措施,不存在让步风险,它确保了给定体系的完整断绝。)

迄今暂未发明任何公然报导此类进犯的状况,Unit 42按照搜集的数据阐发以为,这类进犯不属于任何其他要挟活动。

固然今朝关于过往打击的形貌还不完好,Unit 42仍按照他们的研讨勾画出了一下假定的进犯情形:

  1. 1.Tick 构造以某种方法毁坏了安全范例的USB驱动器,并将歹意文件加载到未知数量的驱动器内。这些USB驱动器该当被韩国ITSCC(英文)认证为安全。

  2. 2.Tick构造创立了一个特定的歹意软件,Unit 42称之为SymonLoader,它以某种方法在旧体系上运转,并连续查找这些特定的USB驱动器。

  3. 3.SymonLoader专门针对Windows XP和Windows Server 2003体系。

  4. 4.假如SymonLoader检测到存在特定范例的安全USB驱动器,它将测验考试利用间接会见文件系统的API加载未知歹意文件。

在各类条件假定和代码阐发后,Unit 42 得出以下结论:

“Tick构造利用木马化合法应用程序拐骗受害者安装第一阶段歹意软件,次要是HomamDownloader。在这项研讨中,我们发明一个之前不为人知的加载法式歹意软件被删除,但不是HomamDownloader,这个歹意软件多年前被用于歹意进犯。HomamLoader需求毗连到它的C2服务器以下载分外的有用负载,而SymonLoader则差别,它会在插入受损体系时测验考试从特定范例的安全USB驱动器中提取并安装未知躲藏有用载荷。这类手艺很少见,并且在其他攻击中几乎没有报导。

固然我们没有躲藏在安全USB上的文件的副本,但我们有充足多的信息来肯定它很可能是歹意的。对一个安全的USB驱动器停止兵器化是一种不常见的手艺,而且很可能会毁坏空地体系,这些体系不会毗连到大众互联网的体系。一些行业或构造处于安全思索引入空地。另外,因为联网的浅易更新解决方案,这些构造常常利用过期的操作系统版本。当用户无法毗连到内部服务器时,他们倾向于依靠物理存储装备(尤其是USB驱动器)停止数据交流。”



0

上一篇:www.4166.com

推荐浏览

 |   |   |   |   |   | 
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000
奥门金沙