一位专家警告
美国政府发布的新鲜泰托尔样品的技术分析说明了国家支持的威胁行为者不断振兴衰老的能力恶意软件。
联邦调查局发布了安全警报上个月,警告组织威胁性参与者正在使用新的泰多(Taidoor)菌株,泰多尔(Taidoor)是一种与中国政府有关的远程访问特洛伊木马(老鼠)。
根据联邦调查局的说法,新的和改良的特洛伊木马变体正在“与代理服务器结合使用,以维持受害者网络上的存在并进一步的网络利用”。
泰多(Taidoor)在2008年首次出现在一波反对政府东亚和东南亚的机构,制造和金融服务公司。威胁参与者最近扩大了对西欧和北美的竞选活动。
来自ReversingLabs的安全研究人员解剖了新变体的美国网络命令发表的四个样本,该样本包含一个DLL加载器,在执行导出的启动函数之前,该dll加载器会解密RC4加密的大鼠模块。
新样本(两个针对加载器和大鼠模块的两个)包含两个命令和控制(C2)域和一个C2 IP。博客文章由ReversingLabs的反向工程师Karlo Zanki撰写。
“调整恶意软件”
Zanki告诉他,“政府赞助的演员经常有足够的时间和资源来量身定制恶意软件以适合特定目标”,从而维持老鼠的12年延伸。每日swbeplay2018官网ig。
研究人员发现,相关的较旧样本包含额外的加密层,该层隐藏了“负责配置解密的代码,包括AES密钥和S-box初始化”。
但是,在2017年,恶意软件开发人员将“该额外的保护层,可能是另一个PE工件(装载机组件)。
他补充说:“相同的AES密钥已经使用了四年多,这是一个幸运的巧合,它简化了IOC提取的研究人员,并使样品更容易相关。”
Zanki告诉每日swbeplay2018官网ig,但也可以使它们绕过“限制性防火墙设置”,并使用“不同的数据剥落协议”。
样品运输
他建议,联邦调查局分析很有用,因为国家支持的黑客工具通常部署“在较小的,有针对性的攻击中”,而不是“在大规模的运动中”,使研究人员几乎没有样本进行分析。
但是,基于他们对四个泰二鼠样本的分析,研究人员发现了23个相关样本,以及从其配置中提取的40个新的C2 IP和域。
他告诉他说:“当您发现相对较大的相关样本时,您可以根据时间信息(如编译时间和最初在野外发现的时间)进行比较。”每日swbeplay2018官网ig。
“这种比较可以揭示样本之间的相关性,以及有关恶意软件开发过程的一些有趣信息。
“在收集的样品中发现的文物揭示了进行某些恶意软件修改的原因。”
Zanki说,尽管特定的变体为处于风险组织提供特定的课程,但打击国家赞助的恶意软件的一般建议“几乎总是相同”。
根据CISA威胁分析报告中的建议,“遵循安全专家建议的最佳实践 - 定期修补AS,更新AV产品”。
“应特别注意适当的防火墙配置 - 应阻止所有不必要的端口。对于A+等级,您可以发现自己是一个好的来源Yara规则并寻找新鲜的IOC列表以进行持续的威胁。”
受到推崇的凭证填充攻击:如何保护您的帐户免受损害
