江民科技首家挖掘“蛰狼”恶意代码

2020-01-19 来源:安全播报

江民科技持续监测分析,国内首家发现挖掘蛰狼恶意代码,成功切断其蛰狼行动。该恶意代码攻击对象锁定特定目标,以加密、预置后门、窃取特定目标秘密为目的。通过对该恶意代码

江民科技持续监测分析,国内首家发现挖掘“蛰狼”恶意代码,成功切断其“蛰狼”行动。该恶意代码攻击对象锁定特定目标,以加密、预置后门、窃取特定目标秘密为目的。通过对该恶意代码的深度分析,该攻击者对特定目标的网络环境、业务系统进行了针对性的研究,并根据业务场景恶意代码深度利用业务系统漏洞,定向窃取涉密文件,具有极强的隐密性、潜伏性,是对我国典型的高级威胁攻击。
江民赤豹安全实验室对“蜇狼”恶意代码的攻击特点进行了总结:
1. 通过文件摆渡方式传入专网。该恶意代码主要是针对专网环境,内外网、网中网文件摆渡(U盘、光盘和移动硬盘)的方式传入专网,没有任何相关的恶意URL、IP和网络行为等威胁情报信息,通过流量侧设备无法感知发现。
2. 横向传播能力强。围绕共享服务器建立可控的蜘蛛网络(群),每个被感染的主机也作为了该蜘蛛网络(群)的潜在攻击入口点。
3. 伪装成普通的文件夹病毒。该恶意代码伪装成普通的文件夹病毒,即使被防病毒厂商主动防御技术或者启发式扫描技术发现了,容易误判定为普通文件夹病毒,对厂商和用户都具有极强的迷惑性,降低厂商和用户重视程度。
4. 具有很强的对抗性。该恶意代码与现有多款防病毒软件进行对抗,实现了免杀和终止多款防病毒软件运行目的,具有很强的对抗性。
5. 采集目标明确,隐蔽性强。主机中毒后6天才开始进行文件标记动作,并会指定三个明确的目标文件路径进行定向采集(标签水印系统文件夹、桌面文件夹、非逻辑磁盘文件夹、最近访问文件夹)。
6. 加密文件行为迷惑性强。采集时会锁定目标文件夹,并且每隔两个文件加密损坏一个文件,迷惑用户误以为是电脑系统出现故障,消除用户防范心理,并借机靠近重要位置窃取重要信息。
7. 代码设计逻辑复杂。该恶意代码目前已发现挖掘三个迭代版本,具有多个定时器,每个版本都在针对用户环境进行升级,通过社会工程学迷惑降低用户防范心理。
8. 代码设计机理与震网病毒的设计机理相似。
 
赤豹安全实验室已对“蛰狼”恶意代码整个攻击过程进行了全面深度分析,该恶意代码存在多个更新迭代版本,具备高级持续性特点,该恶意代码有以下几个主要模块:
1、 横向传播
2、 后门预置
3、 遍历采集文件名标题含有涉密敏感关键字的文件
4、 标记加密文件行为,关联组合攻击等模块。
该恶意代码设计逻辑复杂,有多个定时器,各模块均有相关配置,可根据配置文件调整恶意代码行为。同时恶意代码各模块触发条件多样化,隐蔽性强。例如初次感染分为三个阶段进行,第一阶段和第二阶段间隔3分钟,第二阶段和第三阶段间隔18小时;遍历采集文件行为在中毒后并不是马上执行,而是设定6天开始收割行动;加密模块不是中毒后马上加密,而是需触发三个条件之一才开始对文件进行标记加密。
 
该恶意代码是有目标,有组织的渗透植入专网并发起“蜇狼”行动,达到窃取特定目标秘密信息的目的。目前江民科技的全系列杀毒软件能够成功查杀“蜇狼”恶意代码,如相关单位通过使用江民杀毒软件查杀,有发现以下病毒查杀记录的可电话咨询公司了解更多细节,做好整体防范和自检工作。
Backdoor.EvilSecWolf.a
Backdoor.EvilSecWolf.b
Backdoor.EvilSecWolf.c
Backdoor.EvilSecWolf.d
Backdoor.EvilSecWolf.e
Backdoor.EvilSecWolf.f
 
如需了解更多详细内容,请电话咨询:邵先生18210235689
更多推荐