根據安全服務供應商FireEye公司透露,微軟正在著手處理一批來自中國的黑客,他們對微軟旗下的TechNet網站進行了攻擊。
據FireEye透露,這組黑客名為APT 17(APT:Advanced Persistent Threat高級持續性滲透攻擊),他們以入侵國防企業,法律公司,美國政府代理,以及科技數據挖掘公司聞名。
TechNet是一個流量很高的網站,主要為用戶提供微軟產品的技術文檔,此外他們的論壇也很火,用戶可以在上面留評論,問問題,等等。
APT17組織還有一個外號,叫做DeputyDog,他們在TechNet網站上創建了一些賬戶,并在指定的網頁上留下大量評論,這些評論包含了加密域名,一旦計算機被他們的惡意軟件感染,就會被指向到一個特定網址。
Bryce Boland是FireEye公司亞太區首席技術官,他表示,那個加密域名之后會將中毒者的計算機“拖到”一個由命令行控制的服務器上,該服務器屬于APT17組織服務器的一部分。APT17頻繁采用的技術,是讓受感染的計算機與一個中間域名建立聯系。通常來說,黑客采取的手段就是要讓被感染的機器與一個看上去不是很可疑的域名建立聯系。
“如果你發現TechNet的流量出現激增,那太正常不過了,”Boland說道。
有時,命令行控制的域名會被嵌入到惡意軟件里面,但是這種做法很容易就能被殺毒軟件給識別出來。當然,惡意軟件也會使用算法加密,然后自動生成一些惡意域名,不過殺毒分析師可以利用反向工程識別出這種病毒植入模式。
安全專家發現,黑客也會濫用一些合法域名和服務器,比如GoogleDocs和Twitter,這種方式和APT17所希望達到的目的是一樣的。“對于任何一個開放平臺來說,這都會是個挑戰,”Boland說道。
現在,一旦被感染的機器訪問了那些惡意域名,FireEye和微軟就會發現問題,并且將TechNet網站上對應的惡意加密域名給刪除掉。據Boland透露,黑客組織APT17已經覬覦微軟客戶多年,當然期間還存在其他一些黑客組織,他們會使用釣魚式攻擊,比如通過電子郵件的方式發送帶有惡意軟件的連接或附件。
FireEye發現,在過去的數年里,黑客組織APT17已經在不少計算機內植入了一款名為BLACKCOFFEE(黑咖啡)的惡意軟件,這款惡意軟件可以利用被感染的計算機上傳文件,刪除文件,并創建反向shell命令,等等。
京公網安備 11010502049343號