0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

两个恶意软件分析:“两个软件”已被使用近十年

pIuy_EAQapp 来源:未知 作者:李倩 2018-06-05 15:47 次阅读

6月3日讯 美国国土安全部(DHS)和联邦调查局(FBI)在2018年5月29号发布《隐藏眼镜蛇:Joanap 后门木马和 Brambul 服务器消息块蠕虫》的联合技术警报 TA18-149A,提醒公众注意与国家支持性黑客有关的两个恶意软件家族:Joanap、Brambul,并称这两个恶意软件一旦成功部署,黑客可远程访问设备并窃取敏感信息

DHS 和 FBI 已经在包括中国、西班牙、瑞典、印度、巴基斯坦、沙特阿拉伯和伊朗等17个国家和地区的87个受损网络节点上发现了远程访问工具 Joanap 的痕迹。

两个恶意软件分析

警报对隐藏眼镜蛇黑客组织(Hidden Cobra)所使用的远程访问工具 Joanap 后门木马和恶意的 Windows 32位服务器消息块(SMB)蠕虫进行了分析。

远程访问工具——Joanap

Joanap 是一款两阶段的恶意软件,可用于建立点对点通信和管理旨在启用其他操作的僵尸网络。该恶意软件为隐藏眼镜蛇提供了在被感染的 Windows 设备上泄露数据、删除和运行辅助有效负载、初始化代理通信的能力。该软件的其他功能还包括:文件管理、进程管理、创建和删除目录和节点管理。

分析表明,Joanap 恶意软件使用 Rivest Cipher 4 加密来保护及隐藏与隐藏眼镜蛇黑客组织之间的通信。一旦安装完毕,这个恶意软件会在名为 mssscardprv.ax. 文件的 Windows 系统目录中创建一个日志条目。隐藏眼镜蛇黑客组织使用此文件来捕获和存储受害者的信息,如主机的 IP 地址、主机名称和当前系统时间等。

SMB蠕虫——Brambul

Brambul 恶意软件是一种恶意的 Windows 32位服务器消息块(SMB)蠕虫,其功能是作为一个服务动态链接库文件或一个可移植的可执行文件,经常由 dropper 恶意软件下载并安装到受害者的网络中。执行时,恶意软件会尝试与受害者系统和受害者本地子网上的 IP 地址建立联系。一旦成功,黑客将通过使用嵌入的密码列表来启动暴力密码攻击,应用程序会试图通过 SMB 协议(端口139和445)获得未经授权的访问。此外,恶意软件会为随后的攻击生成随机的 IP 地址。

分析者怀疑恶意软件针对不安全或无安全保障用户账户进行攻击,并通过安全性较差的网络共享进行传播。一旦恶意软件在受害者的系统上建立了未经授权的访问,它会通过恶意的电子邮件地址将受害者系统的信息传递给隐藏眼镜蛇黑客组织。这些信息包括每个受害者系统的 IP 地址、主机名、用户名和密码。隐藏眼镜蛇黑客组织利用这些信息,通过 SMB 协议,远程访问被感染的系统。

研究人员对 Brambul 恶意软件的一个新变种进行了分析,确定了该恶意软件具有的功能包括:收集系统信息、接收命令行参数、生成并执行自毁脚本、通过 SMB 在网络上传播、强制 SMB 登录凭证以及生成包含了目标主机系统信息的简单的邮件传输协议电子邮件信息。

“两个软件”已被使用近十年

官员们认为,隐藏眼镜蛇至少从2009年开始使用这两种形式的恶意软件,针对包括美国在内的全球媒体、航空航天、金融和关键基础设施组织进行攻击,且都认为 Joanap 和 Brambul 这两种形式的恶意软件都能允许黑客远程访问设备并窃取敏感数据,或进行其他网络攻击活动。

美国官员定期发布与隐藏眼镜蛇黑客攻击的信息,隐藏眼镜蛇被认定为政府支持的黑客组织。

此次 DHS 和 FBI 联合警报表示,FBI 认为隐藏眼镜蛇正在使用被列在本报告中的攻击指示器(IOC)文件中的IP地址,以维持其在受害者网络中的存在并对网络进行开发。DHS 和 FBI 正在分发这些 IP 地址和其他攻击指示器(IOC),以加强网络防御。

官员们鼓励私营部门立即向 DHS 和 FBI 报告任何与这两种形式的恶意软件相关的活动,并为加强缓解提供最高优先级。

缓解策略

针对这两种形式的恶意软件攻击,警报给出了缓解策略。DHS 建议用户和管理员使用以下最佳实践作为预防措施来保护其计算机网络:

保持所运行的系统和软件更新是最新版本。大多数的攻击针对有缺陷的应用或操作系统。使用最新更新进行修补可大大减少攻击者可利用的突破口数量。

保持防病毒软件维持在最新版本,在执行前,对从网上下载的软件进行扫描。

限制用户安装和运行不需要软件应用程序的权限,并将最小特权原则应用到所有系统和服务中。这些权限限制有助于阻止恶意软件的运行或限制其通过网络传播的能力。

扫描并删除可疑电子邮件附件。如果用户打开恶意附件并启用宏,嵌入的代码将在机器上执行恶意软件。企业和组织应考虑阻止可疑的含有附件的电子邮件。

如果不需要,请禁用 Microsoft 的文件和打印机共享服务。如果需要此项服务,请使用强密码或活动目录进行身份验证。

在组织工作站上启用个人防火墙,并将其配置为拒绝未经请求的连接请求。

其他与隐藏眼镜蛇有关的恶意软件还包括:Destover和Wild Positron(也称Duuzer),以及具有复杂功能的Hangman,如DDoS僵尸网络、键盘记录器、RAT和硬盘擦除器。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络节点
    +关注

    关注

    0

    文章

    54

    浏览量

    15903
  • 恶意软件
    +关注

    关注

    0

    文章

    34

    浏览量

    8963

原文标题:恶意软件警报:Joanap、Brambul席卷多国

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    从时域和频域两个角度对信号进行分析

    一般来说,我们会从时域和频域两个角度,分别对信号进行分析。 时域 时域是真实世界存在的域,按时间顺序呈现。例如,在某个时钟信号的时域图中,可以观察到两个重要的参数,波形的周期和上升沿: 时钟周期即
    的头像 发表于 11-19 10:18 742次阅读
    从时域和频域<b class='flag-5'>两个</b>角度对信号进行<b class='flag-5'>分析</b>

    单相电机两个绕组都在定子上吗

    单相电机的两个绕组,即起动线圈(或称为辅助绕组、副绕组)和运行线圈(或称为主绕组),都位于定子上 。这两个绕组在电机中起着关键作用,共同协作以产生旋转磁场,从而使电机能够运转。 单相电机通常由一
    的头像 发表于 09-03 15:10 746次阅读

    ad如何设置两个元器件的距离

    之间应保持的最小距离,以确保电路板的电气性能和制造过程的可靠性。以下是如何在AD中设置两个元器件之间距离的步骤: 一、进入规则设置界面 打开AD软件 :首先,确保你已经打开了Altium Designer软件,并加载了需要进行元
    的头像 发表于 09-02 15:31 6694次阅读

    功放机AB两个声道输出怎么接

    功放机AB两个声道输出的接线方式,主要取决于您想要实现的音频效果以及音箱的配置。以下将详细介绍几种常见的接线方式,以及它们各自的特点和适用场景。 一、基础接线方式 在大多数情况下,功放机的AB两个
    的头像 发表于 08-23 10:40 2663次阅读

    触发器的两个稳定状态分别是什么

    触发器作为数字电路中的基本逻辑单元,具有两个稳定状态,这两个状态通常用于表示二进制数码中的0和1。
    的头像 发表于 08-12 11:01 1073次阅读

    双稳态电路的两个稳定状态是什么

    双稳态电路是一种具有两个稳定状态的电子电路,广泛应用于数字电路、通信系统、存储器等领域。 双稳态电路的基本概念 双稳态电路是一种具有两个稳定状态的电路,即在没有外部输入信号的情况下,电路可以保持在
    的头像 发表于 08-11 15:00 1343次阅读

    双稳态触发器的两个基本性质是什么

    双稳态触发器(Bistable Trigger)是一种具有两个稳定状态的逻辑电路,广泛应用于数字电路设计中。它具有两个基本性质:记忆性和切换性。 一、双稳态触发器的基本概念 1.1 双稳态触发器
    的头像 发表于 08-11 10:08 670次阅读

    ESP8266的软件定时器允许在user_init中定义两个不同的定时器然后去定时两个不同的操作吗?

    8266的软件定时器允许在user_init中定义两个不同的定时器然后去定时两个不同的操作吗?如果可以需要注意什么,如果不可以,那么我想分别一直检查按键输入和一直检查网络状态应该怎么做?
    发表于 07-22 06:54

    两个PLC之间如何交互信号

    在工业自动化系统中,PLC(Programmable Logic Controller,可编程逻辑控制器)是核心的控制设备。在许多复杂的应用场景中,需要两个或多个PLC之间进行信号交互,以实现更高
    的头像 发表于 06-14 16:57 4289次阅读

    两个铜片可以形成原电池吗

    两个铜片本身不能形成原电池,因为原电池的工作原理依赖于两个不同电位的电极材料之间的氧化还原反应。
    的头像 发表于 05-21 16:23 948次阅读

    原电池中的两个电极能是相同的吗?

    在原电池的设计和运作中,两个电极是否可以相同,这取决于电池的类型和所需的电化学反应。
    的头像 发表于 04-26 17:32 2262次阅读

    请问IAR for STM8和IARforARM两个软件安装在一电脑上冲突吗?

    IAR for STM8和IARforARM两个软件安装在一电脑上冲突吗?
    发表于 04-12 06:31

    arcgis中如何关联两个属性表

    在ArcGIS中,关联两个属性表是一重要的操作,可以通过此操作将两个表中的数据关联起来,以便进行分析和查询。下面是详细介绍如何在ArcGIS中实现属性表的关联。 首先,我们需要明确
    的头像 发表于 02-25 11:01 4196次阅读

    两个电位器地控制一变频器,如何接线?

    两个电位器地控制一变频器,如何接线? 接线方式如下: 1. 首先,明确需要使用的电器设备。在这个场景中,我们需要两个电位器(即可变电阻器)和一
    的头像 发表于 02-05 10:13 5236次阅读

    两个机器的时钟怎么同步?

    两个机器的时钟怎么同步? 在现代社会中,时间同步对于各种科学研究、工业生产和通信技术都具有重要意义。在许多应用程序中,如分布式系统、计算机网络和数据同步等领域,为了确保数据的一致性和准确性,需要确保
    的头像 发表于 01-16 14:26 1629次阅读