博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT
阅读量:5758 次
发布时间:2019-06-18

本文共 1116 字,大约阅读时间需要 3 分钟。

本文讲的是 支持多平台高级逃避技术的外星人间谍软件AlienSpy RAT,黑客们协同开发了外星人间谍(AlienSpy RAT)软件,这是一种远程连接工具,旨在一系列关键基础设施上植入并传播城堡(Citadel)银行木马。

根据国防集团通用动力(General Dynamics)的下属安全公司Fidelis报道,外星人间谍是基于Adwind、Unrecom和Frutas这些Java架构的远程控制木马开发的。Fidelis公司在本月8日发布的报告中表示,该恶意软件通过伪造消息进行传播,目前已经在科技企业、金融服务企业、政府机构、能源设施中发现了该软件。

Fidelis公司在报告中表示,他们相信该软件通过统一软件开发维护过程得以快速迭代,其功能集合正飞速扩展,包括对安卓的多平台支持,另外,它的行为还显示出其它RAT软件并没有的逃避技术。

外星人间谍同时支持Windows、Linux、Mac OS X和安卓平台。它表现出了RAT软件的传统行为,比如收集系统数据、建立后门以上传恶意程序(包括键盘记录器)、提取泄露数据,另外,它还能控制摄像头、监听设备麦克风、提供远程桌面控制、窃取浏览器中的信用卡信息、访问文件。总的来看,一共有12个外星人间谍插件分别提供了这些能力。

当今的版本还包括检测自身是否运行在VMware或者甲骨文Virtual Box之类的虚拟机中的功能。其余的自保功能还有关闭杀毒软件以及其它安全工具、使用TLS和幕后服务器进行加密通信。

使用传输加密是为了对软件和幕后服务器的通信进行伪装,这样的技术使得网络防御者很难在公司网络中找到恶意流量。

Fidelis公司破解了外星人间谍的一个配置文件,其中包含该软件可以欺骗的一大串商业以及开源安全软件,其中包括抓包工具Wireshark。

Fidelis公司抓到的一个样本会投放城堡银行恶意软件,它在过去被用于关键行业的入侵上。它会伪装成历史订单、汇款到账通知、支付信息,让受害者上钩,执行恶意软件。该恶意软件还会被整合在外星人间谍构造中的Java混淆器Allatori所混淆。

这个样本还曝光了幕后服务器的DNS信息(owoego[.]chickenkiller[.]com),它使用9999端口进行后门通信、虚拟机检测,以及收集Java包所在文件夹、名称、后缀、注册表项的信息。

Fidelis公司建议各公司在看到.jar后缀的文件时不要让员工打开,而是先进行检查。让公司的关键人员打开可执行的附件,可能存在安全风险。

原文发布时间为:四月 10, 2015

本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:

转载地址:http://sttkx.baihongyu.com/

你可能感兴趣的文章
replace函数结合正则表达式实现转化成驼峰与转化成连接字符串的方法
查看>>
ubuntu 初学常用命令
查看>>
WCF客户端与服务端通信简单入门教程
查看>>
android 资源种类及使用
查看>>
Explorer程序出错
查看>>
Centos7同时运行多个Tomcat
查看>>
使用CocoaPods过程中的几个问题
查看>>
我的友情链接
查看>>
为eclipse安装maven插件
查看>>
公司新年第一次全员大会小记
查看>>
最懒的程序员
查看>>
JAVA8 Stream 浅析
查看>>
inner join on, left join on, right join on要详细点的介绍
查看>>
SAS vs SSD对比测试MySQL tpch性能
查看>>
Spring boot 整合CXF webservice 全部被拦截的问题
查看>>
Pinpoint跨节点统计失败
查看>>
【Canal源码分析】Canal Server的启动和停止过程
查看>>
机房带宽暴涨问题分析及解决方法
查看>>
iOS 绕过相册权限漏洞
查看>>
我的友情链接
查看>>