安全研究人员近来发现了一种新的类似震网病毒的恶意软件,并将其命名为:Havex,早先这种恶意软件已被用在很多针对能源部门的网络攻击中。
就像著名的专门设计用来破坏伊朗核项目的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件,这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网。
安全厂商F-Secure首先发现这种木马并将其作为后门命名为W32/Havex.A,F-Secure称它是一种通用的远程访问木马(RAT,即remote access Trojan),近来被用于从事工业间谍活动,主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。
SMARTY PANTS,TROJANIZED INSTALLERS
要做到这点,除了诸如利用工具包和垃圾邮件等传统感染方式外,网络罪犯们还会使用另一种有效的方法传播Havex,例如:渗透目标软件公司的Web站点,并等待目标安装那些合法APP的感染木马的版本。
在安装过程中,该木马软件释放一个叫做"mbcheck.dll"的文件,这个文件实际上就是攻击者用作后门的Havex恶意代码。
"C&C服务器将会指示被感染的计算机下载并执行其他组件",F-Secure称,"我们收集和分析了Havex RAT的88个变种,这些变种被用来从目标网络和机器获取权限并搜集大量数据。这份分析报告包括了对与那些变种有关的146个C&C服务器的调查,这些服务器涉嫌试图通过追踪大约1500个IP地址来定位目标受害者" |
F-Secure没有指出被影响厂商的名字,但比较针对法国的一个工业机械制造商和两个教育机构和德国的很多公司。
信息搜集
Havex RAT配备了一个新的组件,其目的是通过利用OPC(开放平台通信)标准来收集网络和联网设备的信息。
OPC是一种通信标准,它允许基于Windows的SCADA应用与过程控制硬件进行交互。该恶意软件会扫描本地网络中会对OPC请求作出响应的设备,以搜集工业控制设备的信息,然后将这些信息反馈到C&C服务器上。除此以外,它也包含从受感染系统收集数据的信息收获工具,比如:
1.操作系统的相关信息
2.凭证获取工具,用来窃取存储在开发Web浏览器的密码
3.使用自定义协议进行不同C&C服务器之间通信的组件,并在内存中执行三级有效载荷
"到目前为止,我们还未发现试图控制所连接硬件的任何有效载荷。"F-Secure证实。
动机是什么?
对于这一点,虽然他们的动机目前还不清楚,"我们也确定攻击者所使用的附件组件包含从受感染机器上收集数据的代码,这些机器用在ICS或SCADA系统。这表明,攻击者不仅仅对危及他们有兴趣的公司网络安全感兴趣,而且也有意获得那些机构ICS或SCADA系统的控制权。"F-Secure如是说。
Havex来自俄罗斯?
今年一月,网络安全公司CrowdStrike披露了一项被称为"Energetic Bear"的网络间谍活动,在这项活动中黑客们可能试图通过俄罗斯联邦渗透欧洲、美国和亚洲能源公司的计算机网络。据CrowStrke称,那些网络攻击中所用的恶意软件就是Havex RAT和SYSMain RAT,同时Havex RAT可能是SYSMain RAT的更新版,这两个工具至少在2011年就被攻击者使用过。
这就意味着,Havex RAT有可能以某种方式被俄罗斯黑客连接,或者由俄罗斯政府资助实施。
原文地址:http://thehackernews.com/2014/06/stuxnet-like-havex-malware-strikes.html