根据安全服务供应商 FireEye 公司透露,微软正在着手处理一批来自中国的骇客,他们攻击微软旗下的 TechNet 网站。
据 FireEye 透露,这组骇客名为 APT 17(APT:Advanced Persistent Threat 高级持续性渗透攻击),他们以入侵国防企业、法律公司、美国政府代理以及科技数据挖掘公司闻名。
TechNet 是一个流量很高的网站,主要为用户提供微软产品的技术文档,此外他们的论坛也很火,用户可以在上面留评论、问问题等。
APT17 组织还有一个外号叫做 DeputyDog,他们在 TechNet 网站上创建了一些账户,并在指定的网页上留下大量评论,这些评论包含了加密域名,一旦电脑被他们的恶意软件感染,就会被指向到一个特定网址。
Bryce Boland 是 FireEye 公司亚太区首席技术长,他表示,那个加密域名之后会将中毒者的电脑“拖到”一个由命令行控制的服务器上,该服务器属于 APT17 组织服务器的一部分。APT17 频繁采用的技术,是让受感染的电脑与一个中间域名建立联系。通常来说,骇客采取的手段就是要让被感染的机器与一个看上去不是很可疑的域名建立联系。
“如果你发现 TechNet 的流量出现激增,那太正常不过了,”Boland 说道。
有时,命令行控制的域名会被嵌入到恶意软件里面,但是这种做法很容易就能被杀毒软件给识别出来。当然,恶意软件也会使用算法加密,然后自动生成一些恶意域名,不过杀毒分析师可以利用反向工程识别出这种病毒植入模式。
安全专家发现,骇客也会滥用一些合法域名和服务器,比如 Google Docs 和 Twitter,这种方式和 APT17 所希望达到的目的是一样的。“对于任何一个开放平台来说,这都会是个挑战,”Boland 说道。
现在,一旦被感染的机器访问了那些恶意域名,FireEye 和微软就会发现问题,并且将 TechNet 网站上对应的恶意加密域名给删除掉。据 Boland 透露,骇客组织 APT17 已经觊觎微软客户多年,当然期间还存在其他一些骇客组织,他们会使用钓鱼式攻击,比如通过电子邮件的方式发送带有恶意软件的连接或附件。
FireEye 发现,在过去的数年里,骇客组织 APT17 已经在不少电脑内植入了一款名为 BLACKCOFFEE(黑咖啡)的恶意软件,这款恶意软件可以利用被感染的电脑上传文件,删除文件,并创建反向 shell 命令等。
- Chinese hackers hid malware attack controls in Microsoft TechNet comments
(本文由 雷锋网 授权转载)
