首页 科技正文

这种不寻常的Windows恶意软件是通过P2P网络控制的

科技 2019-06-12 16:48:43

针对Windows机器的新恶意软件活动采用了一种新颖的技术来控制由此产生的僵尸网络,其背后的团队使用P2P网络隐藏其通信。

这项运动是在5月被发现的,被称为IPStorm-- InterPlanetary Storm的缩写 - 由其网络犯罪运营商发起。作者可能从Storm这个名字中获取灵感 - 这是一个P2P蠕虫活动,在2007年首次出现之后就变得臭名昭着 。目前还不知道IPStorm的作者是谁或者他们在哪里操作,但恶意软件具有“反向shell”功能,可以让黑客在受感染的机器上执行任意PowerShell代码。

根据网络安全公司Anomali的研究人员的说法,恶意软件的有趣之 处在于它是第一个在野外发现的恶意软件,它使用IPFS的p2p网络进行命令和控制通信。通过使用合法的p2p网络,恶意软件可以在合法的p2p网络流量中隐藏其网络流量。

IPFS是一个开源的P2P文件共享网络,旨在作为共享和存储文件的手段,用户在分散的系统中下载和托管内容。其应用程序的示例包括用于托管可以在阻止访问它的国家/地区访问的Wikipedia版本。

使用Go编程语言编写,仍然不确定IPStorm如何开始其初始感染,但恶意软件包的大小意味着代码被分成多个部分。这表明攻击者精通软件开发,因为这使得恶意软件更易于管理和更新。

“通过将功能分解为不同的Go包,代码库更易于维护。此外,威胁行为者可以将事物分解为模块,以便更换或重用功能,”Anomali威胁的威胁情报经理Joakim Kennedy说道。研究小组告诉ZDNet。

IPStorm还带有几种防病毒逃避技术,例如睡眠和内存分配,在它进入Windows系统并将其自身安装在预定列表的文件夹中后仍然未被发现,大多数假文件夹都与之相关到Microsoft或Adobe系统。这个想法是,即使用户看到该文件夹​​,他们也不会想太多。

可执行文件存储在此文件夹中,并且还从预定列表中随机选择名称。攻击者似乎正在努力确保在受感染的计算机上很难发现IPStorm。

目前,此广告系列的最终目标仍然未知 - 但它可用于各种恶意活动。

“ 僵尸网络通常用于DDoS,服务支持特洛伊木马,或构建代理网络。僵尸程序允许威胁行为者执行他们选择的任何PowerShell代码。僵尸网络不断更新,因此可以随时添加新功能,”肯尼迪说。

在分析恶意软件时,研究人员指出,虽然IPStorm目前仅针对Windows系统,但恶意软件样本中的元数据表明攻击者可能正在编译它以感染其他操作系统。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请 第一时间联系我们修改或删除,多谢。