特洛伊木马计划正在通过USB驱动器分发,似乎专为窃取从未连接到Internet的所谓的空中电池计算机窃取信息。
新的特洛伊木马通过防病毒公司ESET的安全研究人员被称为USB小偷,并具有几个特征,使其与使用USB存储设备和Windows自动运行功能传播的传统恶意软件程序分开。
首先,USB Thief感染了USB驱动器,其中包含Firefox,Notepad ++或TrueCrypt等流行应用程序的便携式安装。它将其作为插件或DLL(动态链接库)复制到此类安装中,然后与这些应用程序一起执行。
在某些情况下,特别是在处理空中电视机时,用户将直接从USB棒暂时运行应用程序,以避免在系统本身上安装它。许多流行应用程序的“便携式”版本,并且在使用后,他们不会留下系统上的任何文件或注册表条目。
在PC支持技术人员或系统管理员中,这种做法也很常见,他们经常不得不解决用户“计算机上的问题,因此它们围绕一个USB粘贴,其中包含他们最喜欢的工具的便携式版本。
USB Thief Trojan是一个多级恶意软件程序,由三个可执行文件组成,每个可执行文件都加载链中的下一个组件,两个加密配置文件和最终有效载荷。
除了在便携式应用程序的合法插入或DLL之后命名的第一加载器,基于加密操作确定其他组件的名称,并且与另一个对另一个感染的USB驱动器不同。
例如,第一加载器将计算其自己内容的SHA512散列与其自己的创建日期结合,并将尝试执行其名称与散列匹配的文件。这将是第二个装载机。
第二个加载程序将检查它是否由正确的父级启动,然后将尝试解密名称是其自己内容和创建时间戳的SHA512散列的配置文件。
使用AES128算法加密配置文件,并且从USB设备的唯一ID组合其磁盘属性来计算密钥。然后,第二加载器将尝试运行第三加载器,其名称是配置文件的内容及其创建时间的SHA512散列,等等。
所有这些加密验证都使得非常困难地分析恶意软件,而不会对其创建的特定USB设备进行物理访问。将文件复制到不同的USB设备或计算机将打破执行链,因为文件创建日期将被修改。如果没有唯一的USB ID,配置文件也不会被解密。
最终有效负载被注入新的Windows Svchost.exe进程中,并从第二加密配置文件中读取指令。这些指令定义了从计算机中窃取的哪些信息,在哪里存储它以及如何加密它。
“在我们分析的情况下,它是窃取所有数据文件,诸如图像或文档之类的所有数据文件,所有驱动器的文件列表以及使用名为”的导入的开源应用程序收集的信息“ RINAUDIT“,”ESET研究人员在博客帖子中说。
被盗数据保存回USB驱动器,并使用椭圆曲线加密加密。ESET研究人员表示,一旦USB驱动器被删除,就没有证据了计算机。
所有这些特殊特性 - 与USB设备安装的恶意软件安装在安装开启,使用强加密和加密验证的多级执行 - 表明它是针对有针对性的攻击,特别是针对空中攻击系统。
由于没有尝试通过Internet连接将被盗数据发送到外部服务器,因此假设攻击者能够在以后从受感染的USB驱动器中检索它的能力。
USB Thief可以是一个较大的Cyber Itage Platform的一个组成部分,例如一个受感染组织的IT人员使用的互联网连接的计算机的组成部分。在这种情况下,攻击者只需等待这些员工在空中覆盖系统上使用它们后将被感染的USB杆插入其计算机,然后检索被盗数据。
出现了这种行为的先例。历史上最复杂和长期运行的讯连讯讯组竞选活动之一的等式组使用了一个叫做fanny的USB蠕虫,以感染空气覆盖系统,然后传递给他们的命令。
ESET研究人员表示,重新设计USB窃款将窃取数据窃取的数据窃取有效载荷更改为任何其他恶意有效载荷。
ESET“统计数据显示,这个新的木马不是很普遍,但这并不令人惊讶地赋予其性质。
“在可能的情况下,应该禁用USB端口,如果不可能,ESET的Malmery分析师在一个单独的博客文章中,应当在其使用中进行严格的政策来实施严格的政策以实施严格的政策。”“对于各级的员工来说,这是非常可取的,以接受网络安全培训 - 包括现实生活测试。”
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。