狡猾的弹弓路由器恶意软件是第一类

发现了可以从路由器远程入侵计算机的恶意软件。该恶意软件是由卡巴斯基实验室的研究人员发现的,称为Slingshot ATP。 Slingshot恶意软件是有史以来第一种此类恶意软件。狡猾的设计使其无需首先将自己安装在系统管理员的机器上即可访问系统管理员的机器.

据信这种隐身恶意软件已经流行了6年,在那期间感染了至少100台计算机。该恶意软件的名字来源于从其代码中恢复的文本,是迄今为止发现的最高级的恶意软件之一。根据卡巴斯基的研究人员的说法,它是如此先进,以至于它可能是国家资助的开发项目.

极其复杂

卡巴斯基(Kaspersky)在25页的报告(pdf)中描述了该恶意软件,并解释说这很可能是一个国家情报机构利用其进行间谍活动的复杂工具:

"Slingshot的发现揭示了另一个复杂的生态系统,其中多个组件协同工作,以提供一个非常灵活且运转良好的网络间谍平台.

"该恶意软件是高级软件,可以从技术角度解决问题,而且通常采用非常优雅的方式,将旧组件和新组件组合在一起,经过深思熟虑,长期运行,这是一流的,资源丰富的演员."

卡巴斯基全球研究总监Costin Raiu一直在赞美Slingshot有效载荷中的独创性。在一份声明中,他评论说,他“从未见过这种攻击媒介,先入侵路由器,然后再进行sysadmin。”

根据Raiu的说法,尽管很常见,但是试图破解sysadmin的尝试很难发现。他说,系统管理员有效载荷是极受欢迎的攻击媒介,因为它为黑客提供了“王国的钥匙”。研究人员称,Slingshot使用“全新策略”来实现这一目标。

弹弓之谜

仍然是一个谜

Slingshot路由器恶意软件是偶然发现的。卡巴斯基的研究人员仍然不确定如何将其交付给受害者的路由器。众所周知,控制弹弓的人主要将有效载荷瞄准了拉脱维亚公司MikroTik制造的路由器.

尽管确切的攻击媒介仍然是个谜,但研究人员仍能够确定攻击者使用了称为Winbox的MikroTik配置实用程序“从路由器的文件系统下载动态链接库文件”。将一个特定文件ipv4.dll加载到了该文件中。在执行之前,请从路由器获取sysadmin计算机的内存。卡巴斯基在报告中称装载机“技术上很有趣”。

加载程序巧妙地与路由器通信,以下载有效载荷中更危险的组件(路由器基本上是黑客的命令与控制(CnC)服务器).

“在感染之后,Slingshot会将许多模块加载到受害设备上,其中包括两个强大的模块:Cahnadr(内核模式模块)和GollumApp(用户模式模块)。这两个模块是相互连接的,能够在信息收集,持久性和数据渗透方面相互支持。”

卡巴斯基攻击向量

先进的隐身机制

关于Slingshot的最令人印象深刻的事情可能是其避免检测的能力。尽管Slingshot自2012年就开始疯狂使用-并在上个月仍在运行-到目前为止,Slingshot还是避免了被发现。这是因为它使用了加密的虚拟文件系统,故意将其隐藏在受害者硬盘未使用的部分中.

根据卡巴斯基的说法,将恶意软件文件与文件系统隔离可以帮助其保持未被防病毒程序检测到的能力。该恶意软件还使用加密-精心设计的关闭策略-阻止取证工具检测其存在.

国家赞助的监听

弹弓似乎已被一个民族国家用来从事间谍活动。该恶意软件已与至少11个国家的受害者相关联。到目前为止,卡巴斯基已经在肯尼亚,也门,阿富汗,利比亚,刚果,约旦,土耳其,伊拉克,苏丹,索马里和坦桑尼亚发现了受感染的计算机。.

这些目标中的大多数似乎都是个人。但是,卡巴斯基的确发现了一些政府组织和机构成为目标的证据。目前,还没有人能确定谁控制着复杂的有效负载。卡巴斯基暂时不愿指责。但是,研究人员确实在用完美英语编写的代码中发现了调试消息。.

卡巴斯基(Kaspersky)说过,它相信Slingshot的复杂性指向国家赞助的演员。它包含完美的英语这一事实可能暗示了NSA,CIA或GCHQ。当然,由国家赞助的恶意软件开发人员有可能通过使他们的漏洞利用似乎是在其他地方创建而相互架起:

"Slingshot使用的一些技术,例如对合法但易受攻击的驱动程序的利用,在其他恶意软件(如White和Gray Lambert)中已经见过。但是,即使不是不可能确定的情况,准确的归因也总是很困难,并且越来越容易被操纵和出错."

Mikrotik路由器的用户可以做什么?

卡巴斯基已告知Mikrotik该漏洞。 Mikrotik路由器的用户必须尽快更新到最新的软件版本,以确保免受Slingshot的攻击.

标题图片来源:Yuttanas / Shutterstock.com

图片来源:Hollygraphic / Shutterstock.com,卡巴斯基报告的屏幕截图.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me