赛门铁克表示,新发现的大新显示出前所未有的复杂性,一段时间以来,它一直瞄准世界各国政府。
图片:solarseven,盖蒂图片社/iStockphoto
赛门铁克的 Threat Hunter 团队报告称发现了一种名为 Backdoor.Daxin 与中国有关,并且“表现出此类行为者以前从未见过的技术复杂性”。
Daxin 是一种后门恶意软件,它允许其控制器安装更多恶意软件,具有网络隧道功能,可以在受感染的节点之间中继通信,能够劫持合法的 TCP/IP 连接,并且是一段极其复杂的代码。
就在 2021 年 11 月,大新还参与了与中国行为体有关的攻击,通常针对对中国具有战略价值的目标。 它也被发现在电信、运输和制造业的受害者身上。 不幸的是,对于那些认为这是一个尚未传播的新威胁的人来说,情况并非如此。
赛门铁克表示,自 2013 年左右以来,大新一直以某种形式存在。 它的年龄可能表明它是如何感染目标的,它确实伪装成恶意的 Windows 内核驱动程序,赛门铁克指出,对于现代恶意软件来说,这种情况相对罕见。
2019 年 11 月针对一家未具名的 IT 公司的一次攻击可能源自中国,使用了Daxin,其中攻击者使用了另一种名为 Owlproxy 的中国恶意软件工具。 在 2020 年 5 月的另一个例子中,在另一家未具名的科技公司的一台计算机上发现了大新和 Owlproxy 安装。
最后,在 2020 年 7 月,针对军事目标的一次失败攻击涉及两次尝试安装“可疑驱动程序”,然后又回到 Emulov 特洛伊木马。 虽然与中国或大新没有明确的联系,但赛门铁克表示,这种行为非常相似,以至于表明大新参与其中。
赛门铁克表示:“考虑到其能力和所部署攻击的性质,大新似乎已针对强化目标进行了优化,允许攻击者深入目标网络并窃取数据而不会引起怀疑。”
Daxin能做什么
如上所述,Daxin 是一款复杂的恶意软件,它的开发人员显示出了高超的技能。 赛门铁克将其描述为具有一组狭窄的功能,但它所做的事情,它做得非常好。
举个例子,大新是如何在不被察觉的情况下进行通信的:它劫持了 TCP/IP 会话。 Daxin通过监控流量、寻找特定模式然后断开原始接收者的连接来做到这一点。 一旦它抓取了流量,它就会以赛门铁克所说的“可以成为密钥交换的发起者和目标”的方式执行密钥交换。
这种方法可以让Daxin通过劫持合法流量来避开严格的防火墙规则,同时也将安全团队发现任何网络异常的机会降到最低。
说到通信,Daxin还可以封装原始网络数据包,将发送的任何响应数据包转发给攻击者,让他们与受感染机器网络上的合法服务进行通信。
赛门铁克称其最有趣的功能是大新只需一个命令即可跨越多个受感染节点的能力。 赛门铁克表示,绕过受感染的网络是典型的,但不是一次行动。 大多数攻击者一次从一个节点到另一个节点获取一个命令。
然而,对于大新来说,“这个过程是一个单一的操作,这表明该恶意软件是为攻击保护良好的网络而设计的,攻击者可能需要定期重新连接到受感染的计算机。”
有没有办法远离Daxin?
赛门铁克没有过多说明大新如何感染其目标,尽管它表示其对大新的报告将分为多个部分,其中可能包含补救建议。
根据赛门铁克在其示例中的说法,大新的控制者可能会使用 PsExec(在 2019 年的案例中使用)等工具直接侵入网络,而不是植入恶意文档并依靠用户打开它们。
考虑到这一点,保护网络免受大新的影响可能需要遵循 已知的网络安全为佳实践 ,以及针对 SMB 等专业网络 IC、/IIoT 和 OT 。
声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/6108.html
微信扫一扫 
支付宝扫一扫 
