一种与中文相关的恶意软件,危险且几乎无法检测

赛门铁克表示,新发现的大新显示出前所未有的复杂性,一段时间以来,它一直瞄准世界各国政府。

istock-936338884-2.jpg 图片:solarseven,盖蒂图片社/iStockphoto

赛门铁克的 Threat Hunter 团队报告称发现了一种名为 Backdoor.Daxin 与中国有关,并且“表现出此类行为者以前从未见过的技术复杂性”。

Daxin 是一种后门恶意软件,它允许其控制器安装更多恶意软件,具有网络隧道功能,可以在受感染的节点之间中继通信,能够劫持合法的 TCP/IP 连接,并且是一段极其复杂的代码。

就在 2021 年 11 月,大新还参与了与中国行为体有关的攻击,通常针对对中国具有战略价值的目标。 它也被发现在电信、运输和制造业的受害者身上。 不幸的是,对于那些认为这是一个尚未传播的新威胁的人来说,情况并非如此。

赛门铁克表示,自 2013 年左右以来,大新一直以某种形式存在。 它的年龄可能表明它是如何感染目标的,它确实伪装成恶意的 Windows 内核驱动程序,赛门铁克指出,对于现代恶意软件来说,这种情况相对罕见。

2019 年 11 月针对一家未具名的 IT 公司的一次攻击可能源自中国,使用了Daxin,其中攻击者使用了另一种名为 Owlproxy 的中国恶意软件工具。 在 2020 年 5 月的另一个例子中,在另一家未具名的科技公司的一台计算机上发现了大新和 Owlproxy 安装。

最后,在 2020 年 7 月,针对军事目标的一次失败攻击涉及两次尝试安装“可疑驱动程序”,然后又回到 Emulov 特洛伊木马。 虽然与中国或大新没有明确的联系,但赛门铁克表示,这种行为非常相似,以至于表明大新参与其中。

赛门铁克表示:“考虑到其能力和所部署攻击的性质,大新似乎已针对强化目标进行了优化,允许攻击者深入目标网络并窃取数据而不会引起怀疑。”

Daxin能做什么

如上所述,Daxin 是一款复杂的恶意软件,它的开发人员显示出了高超的技能。 赛门铁克将其描述为具有一组狭窄的功能,但它所做的事情,它做得非常好。

举个例子,大新是如何在不被察觉的情况下进行通信的:它劫持了 TCP/IP 会话。 Daxin通过监控流量、寻找特定模式然后断开原始接收者的连接来做到这一点。 一旦它抓取了流量,它就会以赛门铁克所说的“可以成为密钥交换的发起者和目标”的方式执行密钥交换。

这种方法可以让Daxin通过劫持合法流量来避开严格的防火墙规则,同时也将安全团队发现任何网络异常的机会降到最低。

说到通信,Daxin还可以封装原始网络数据包,将发送的任何响应数据包转发给攻击者,让他们与受感染机器网络上的合法服务进行通信。

赛门铁克称其最有趣的功能是大新只需一个命令即可跨越多个受感染节点的能力。 赛门铁克表示,绕过受感染的网络是典型的,但不是一次行动。 大多数攻击者一次从一个节点到另一个节点获取一个命令。

然而,对于大新来说,“这个过程是一个单一的操作,这表明该恶意软件是为攻击保护良好的网络而设计的,攻击者可能需要定期重新连接到受感染的计算机。”

有没有办法远离Daxin?

赛门铁克没有过多说明大新如何感染其目标,尽管它表示其对大新的报告将分为多个部分,其中可能包含补救建议。

根据赛门铁克在其示例中的说法,大新的控制者可能会使用 PsExec(在 2019 年的案例中使用)等工具直接侵入网络,而不是植入恶意文档并依靠用户打开它们。

考虑到这一点,保护网络免受大新的影响可能需要遵循 已知的网络安全为佳实践 ,以及针对 SMB 等专业网络 IC、/IIoT 和 OT 。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/6108.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • MacOS中如何恢复系统?MacOS中使用Time Machine还原系统教程

    MacOS中如何恢复系统?MacOS中使用Time Machine还原系统教程 了解Time Machine 备份系统 还原系统 了解Time Machine Time Machine是MacOS自带的备份工具,可以将您的硬盘上的文件备份到外部硬盘上。如果您的Mac出现问题,您可以使用Time Machine还原您的系统。在使用Time Machine还原系…

    2023-06-30
    00
  • Win10 21H1系统安全中心怎么彻底卸载?

    Win10 21H1系统安全中心怎么彻底卸载? 了解Win10 21H1系统安全中心 彻底卸载Win10 21H1系统安全中心的方法 注意事项 了解Win10 21H1系统安全中心 Win10 21H1系统安全中心是Windows操作系统中预装的一个安全服务,它可以监控电脑的安全状态,包括杀毒软件、防火墙、网络保护等。但是,有时候我们可能需要彻底卸载它,这就…

    2023-07-18
    00
  • msdn我告诉你Win10哪个版本好?msdn我告诉你Win10版本如何选择?

    如何选择适合自己的Win10版本 Win10版本介绍 硬件要求 使用目的 版本推荐 Win10版本介绍 Windows 10是由微软开发的操作系统,目前共有多个版本,包括Home、Pro、Enterprise等。每个版本的功能和适用范围不同,因此选择适合自己的版本非常重要。 硬件要求 在选择Win10版本之前,您需要了解自己电脑的硬件配置,以确保选择的版本可…

    2023-07-06
    00
  • 英译汉最好的翻译软件(3款翻译软件好用又免费)

    现在市面上翻译软件不说一千也有七八百,但很多翻译软件要不就是机器人味贼重,要么就是弹窗广告超多的流氓软件,为了避免大家挑得眼花缭乱,还找不到好用的软件 今天精心给大家挑选了3款亲测好用的翻译软件,功能超齐全,这些软件帮我翻译了无数个重要的外文文献,各个都很好用!现在来分享给大家 一、Google 翻译 谷歌相信大家一定不会陌生吧!不愧是大厂产品,支持近百种语…

    2022-12-09 投稿
    00
  • 2345浏览器怎么样好用吗(央媒数次点名批评2345恶意广告太多太乱)

    7月26日,在工业和信息化部展开互联网专项整治行动后,上游新闻迅速推出“净网护幼”专栏报道,聚焦扰乱市场秩序、侵害用户权益、威胁数据安全、违反资源和资质管理规定等四方面8类问题,涉及的22个具体场景。 当日,上游新闻刊发《小弹窗,大烦恼!工信部重拳出击,360啥时收手?》,网友评论积极,纷纷为上游新闻及时推出“净网护幼”专题点赞,同时也提供了更多有价值的线索…

    2022-03-17 投稿
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信