一种与中文相关的恶意软件,危险且几乎无法检测

赛门铁克表示,新发现的大新显示出前所未有的复杂性,一段时间以来,它一直瞄准世界各国政府。

istock-936338884-2.jpg 图片:solarseven,盖蒂图片社/iStockphoto

赛门铁克的 Threat Hunter 团队报告称发现了一种名为 Backdoor.Daxin 与中国有关,并且“表现出此类行为者以前从未见过的技术复杂性”。

Daxin 是一种后门恶意软件,它允许其控制器安装更多恶意软件,具有网络隧道功能,可以在受感染的节点之间中继通信,能够劫持合法的 TCP/IP 连接,并且是一段极其复杂的代码。

就在 2021 年 11 月,大新还参与了与中国行为体有关的攻击,通常针对对中国具有战略价值的目标。 它也被发现在电信、运输和制造业的受害者身上。 不幸的是,对于那些认为这是一个尚未传播的新威胁的人来说,情况并非如此。

赛门铁克表示,自 2013 年左右以来,大新一直以某种形式存在。 它的年龄可能表明它是如何感染目标的,它确实伪装成恶意的 Windows 内核驱动程序,赛门铁克指出,对于现代恶意软件来说,这种情况相对罕见。

2019 年 11 月针对一家未具名的 IT 公司的一次攻击可能源自中国,使用了Daxin,其中攻击者使用了另一种名为 Owlproxy 的中国恶意软件工具。 在 2020 年 5 月的另一个例子中,在另一家未具名的科技公司的一台计算机上发现了大新和 Owlproxy 安装。

最后,在 2020 年 7 月,针对军事目标的一次失败攻击涉及两次尝试安装“可疑驱动程序”,然后又回到 Emulov 特洛伊木马。 虽然与中国或大新没有明确的联系,但赛门铁克表示,这种行为非常相似,以至于表明大新参与其中。

赛门铁克表示:“考虑到其能力和所部署攻击的性质,大新似乎已针对强化目标进行了优化,允许攻击者深入目标网络并窃取数据而不会引起怀疑。”

Daxin能做什么

如上所述,Daxin 是一款复杂的恶意软件,它的开发人员显示出了高超的技能。 赛门铁克将其描述为具有一组狭窄的功能,但它所做的事情,它做得非常好。

举个例子,大新是如何在不被察觉的情况下进行通信的:它劫持了 TCP/IP 会话。 Daxin通过监控流量、寻找特定模式然后断开原始接收者的连接来做到这一点。 一旦它抓取了流量,它就会以赛门铁克所说的“可以成为密钥交换的发起者和目标”的方式执行密钥交换。

这种方法可以让Daxin通过劫持合法流量来避开严格的防火墙规则,同时也将安全团队发现任何网络异常的机会降到最低。

说到通信,Daxin还可以封装原始网络数据包,将发送的任何响应数据包转发给攻击者,让他们与受感染机器网络上的合法服务进行通信。

赛门铁克称其最有趣的功能是大新只需一个命令即可跨越多个受感染节点的能力。 赛门铁克表示,绕过受感染的网络是典型的,但不是一次行动。 大多数攻击者一次从一个节点到另一个节点获取一个命令。

然而,对于大新来说,“这个过程是一个单一的操作,这表明该恶意软件是为攻击保护良好的网络而设计的,攻击者可能需要定期重新连接到受感染的计算机。”

有没有办法远离Daxin?

赛门铁克没有过多说明大新如何感染其目标,尽管它表示其对大新的报告将分为多个部分,其中可能包含补救建议。

根据赛门铁克在其示例中的说法,大新的控制者可能会使用 PsExec(在 2019 年的案例中使用)等工具直接侵入网络,而不是植入恶意文档并依靠用户打开它们。

考虑到这一点,保护网络免受大新的影响可能需要遵循 已知的网络安全为佳实践 ,以及针对 SMB 等专业网络 IC、/IIoT 和 OT 。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/6108.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • Win10怎么禁止鼠标键盘唤醒系统?

    Win10怎么禁止鼠标键盘唤醒系统? 方法一:禁用鼠标键盘唤醒 方法二:禁用设备唤醒功能 方法三:禁用任务计划唤醒 方法一:禁用鼠标键盘唤醒 步骤如下: 打开“控制面板”,点击“硬件和声音”。 点击“电源选项”,在左侧菜单中选择“更改计划设置”。 在弹出的窗口中,点击“更改高级电源设置”。 在“电源选项”窗口中,找到“睡眠”选项,展开该选项。 找到“允许鼠标…

    2023-08-07
    00
  • ppt开发工具使用教程(动态图表制作步骤)

    在Excel中使用控件可以实现图表的动态效果展示。 但是很多人并不知道,其实在PPT中同样可以利用控件实现动态图表效果。 PPT动态图表的原理实际上和Excel操作一致,将控件的选择项链接到指定单元格,再通过公式动态获取需要的数据。利用此处的数据作为图表的数据源,由于数据随控件选择项的内容而改变,故图表也随之改变。 PPT中操作的难点在于,如何让PPT中的控…

    2022-05-11 投稿
    00
  • 没有网络电脑和手机怎么互传文件?没数据线和没网络来试试这一招

    无论是生活还工作中,我们时不时要用到手机与电脑互传文件,比如:借助QQ或微信等聊天工具,将手机照片传到电脑上,或者用数据线将电脑上的影音资源拷贝到手机上,还有就是华为设备之间可以用一碰传或多屏协同来实现无线互传文件,苹果全家桶可以用AirDrop(隔空投送)功能实现无障碍互传…… 以上这些小技巧确实给我们生活工作带来很多便利,但偶尔遇到台式电脑没有网络,也没…

    2022-07-23 投稿
    00
  • 2345怎么彻底删除安全卫士(亲测卸载流氓卫士过程)

    以下解决方法需要你有一个U盘PE启动盘。 今天帮网友解决一个问题:2345安全卫士服务进程怎么也杀不掉的问题。 众所周知,2345因某些原因在网友的心中口碑是非常地差,这不,这两天就有一位网友中招了。要不是担心以后还会中招,折腾了这么久早就重装系统了!! 2345安全卫士卸载不了,2345SafeCenterSvc服务更是无法关闭,卸载了又出现,简直像幽灵一…

    2022-05-10
    00
  • 读卡器插在电脑上怎么显示不出来怎么办(修复SD卡无法读取方法)

    SD卡也可以作为一个小型的便携式硬盘使用,但最近一些用户报告说,SD卡电脑无法读取,但他们不知道如何解决它。为了解决这个问题,小编会和你谈谈如何修复SD卡电脑无法读取的问题。 1。首先,检查计算机右下角是否有任何反应,是否有弹出窗口查找新硬件等。如果没有反应,请尝试再次插入。 2。可能是驱动的问题。更新SD卡驱动程序。您可以在相应品牌SD卡的官方网站上找到最…

    2022-07-30 投稿
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信