分析结果发现:Duqu木马的攻击者善于清理自己的痕迹

日期: 2011-12-06 翻译:Ping 来源:TechTarget中国 英文

安全研究人员在连接到Duqu木马的命令和控制服务器(command-and-control servers)网络上进行广泛取证,并已发现该木马背后的网络犯罪分子会很小心地掩盖他们的踪迹。   卡巴斯基实验室的恶意软件专家Vitaly Kamluk说道,10月20日有一次全球性的清理操作,就在一份报告概述了Duqu和Stuxnet蠕虫的相似之处后的两天。在卡巴斯基的研究人员进行分析的详细报告中,Kamluk表示,他的团队发现在过去三年中有超过十二个命令和控制服务器进行了操作。到目前为止,研究人员已经确定了十多个不同的Duqu变种,Kamluk补充道。

  “我们仍然不知道Duqu和Stuxnet……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

安全研究人员在连接到Duqu木马的命令和控制服务器(command-and-control servers)网络上进行广泛取证,并已发现该木马背后的网络犯罪分子会很小心地掩盖他们的踪迹。

  卡巴斯基实验室的恶意软件专家Vitaly Kamluk说道,10月20日有一次全球性的清理操作,就在一份报告概述了Duqu和Stuxnet蠕虫的相似之处后的两天。在卡巴斯基的研究人员进行分析的详细报告中,Kamluk表示,他的团队发现在过去三年中有超过十二个命令和控制服务器进行了操作。到目前为止,研究人员已经确定了十多个不同的Duqu变种,Kamluk补充道。

  “我们仍然不知道Duqu和Stuxnet背后的幕后黑手是谁,”Kamluk在一篇概述了Duqu最新分析的博客中写道,“虽然我们已经分析了一些服务器,但攻击者非常有效的遮盖了他们的踪迹。”

  卡巴斯基研究人员发现的证据支持了一个理论,那就是Duqu背后的攻击者资金雄厚,且具备针对特定公司的必要的技术专长,秘密获得特定的数据并掩饰行踪,使得只留下很少的线索可用于调查取证。Duqu共享一些与Stuxnet相同的源代码,Stuxnet是臭名昭著的蠕虫,旨在破坏特定的SCADA系统进程。一些安全专家认为Duqu木马的目的是为更严重的攻击收集情报,该攻击针对对监控和数据采集(supervisory control and data acquisition,SCADA)系统。

  据卡巴斯基实验室的分析,早期的Duqu恶意软件样本可追溯到一台印度的命令和控制服务器,就在托管公司为了调查做一个快照的前几个小时,它被远程的抹去了。这台印度的服务器也连接到比利时的一台服务器,以及在越南和荷兰的服务器。其他服务器在德国,新加坡,瑞士,英国和韩国。

  这些服务器运行CentOS Linux,通过暴力破解根密码被攻击,Kamluk说道。“一旦攻击者获得对被攻击的服务器的控制,他们就想尽快将OpenSSH的4.3版本升级为OpenSSH 5版本,”他写道。研究人员推测该服务器是在越南,用来控制某些在伊朗发现的Duqu变种。

  尽管有深入的分析,研究人员还无法确定哪些服务器是所有感染的基础。研究人员同样无法证实的是,攻击者使用了CentOS上OpenSSH 4.3版本上的零日漏洞。

  “许多其他的服务器作为基础设施被使用,还有一些作为主要的C&C代理使用,其他的被攻击者用来在世界各地跳转,从而使得跟踪更加困难,”Kamluk写道。“早在2009年,攻击者就擦去了每个他们曾使用的服务器,包括在印度、越南、德国、英国等地的服务器。”

相关推荐

  • Stuxnet多年之后:Windows Shell漏洞仍然肆虐

    Stuxnet利用的Windows Shell漏洞是需要企业仔细评估的漏洞之一。自被公开以来,Windows Shell漏洞已经包含在很多漏洞利用工具包中,并被很多攻击者利用,尽管微软在2010年发布了补丁,但这个问题仍然没有得到解决。

  • Flame病毒:是致命网络战武器还是炒作?

    最近发现一种针对伊朗能源设施的新的恶意软件:Flame,据称这种网络攻击远比Stuxnet要严重,迄今为止最致命的网络武器。

  • 微软修补Duqu木马幽灵代码(一)

    本月微软发布了一个综合的更新文件来修补与Duqu恶意软件有关的字体解析代码漏洞,解决了在Office产品、Windows系统和.NET框架中的一些严重缺陷。

  • 2012年1月安全文章Top 10

    送走2011,迎来了2012年,让我们从一月份的十篇热点文章中来展望一下今年的安全趋势,看看什么将是你要面对的主要威胁和风险,从而做好更充分的准备。