世界上最著名的國家級APT惡意軟體
- 2019 年 12 月 19 日
- 筆記
是的,又是大家喜歡的「假大空「的APT文章~本文介紹由各國情報部門、軍事部各國情報和軍事部門的網路安全部門已開發出最危險,最有效和最知名的惡意軟體病毒列表:
NO 1:Regin(瑞晶)
Regin被認為是有史以來最先進的惡意軟體,由米國國家安全局(NSA)開發。
在設計上,瑞晶使用「模組化」的方法,允許它載入與攻擊目標相訂製的功能,從而實現特定的間諜活動,使得瑞晶非常適合針對目標的持久、長期、大規模的監視。這與火焰等其他惡意軟體的方法相同,有些功能還與2011年9月發現的Duqu惡意軟體類似。其背後的黑客可以通過監視螢幕、遠程控制等渠道來訂製攻擊的方法。瑞晶還可以捕獲和傳輸密碼、恢復已經刪除的文件、監控網路流量。
但瑞晶採用多種隱形技術,可躲避常規反病毒軟體檢測,它不會在受感染的系統上存儲多個文件,它經過多層加密,使用自己的加密虛擬文件系統,它包含在一個從名稱上來看無害的單個文件中,並採用了很少使用的RC5密碼的變體加密。
NO 2:Flame(火焰)
Flame大約從2010年開始散播,由Lua和C++語言編寫,採用 5 種加密演算法,3 種壓縮技術,和至少 5 種文件格式(包括其專有的格式),其所包含的程式碼量約是之前發現的震網病毒(Stuxnet)或毒區病毒(Duqu)的20倍,在中東大範圍傳播。
在電腦中招後,它會利用鍵盤,螢幕,麥克風,移動存儲設備,網路,WIFI,藍牙,USB和系統進程等無所不用其極地收集資訊,然後將用戶瀏覽網頁、通訊通話、帳號密碼以至鍵盤輸入、與被感染電腦相連的智慧手機、平板電腦中的文件發送給控制端,即便與控制端斷開,攻擊者依然可通過藍牙訊號對被感染電腦進行近距離控制!
NO 3:Stuxnet(震網)
我以前的文章已經寫過震網的事情了,它是有史以來第一個包含PLC Rootkit、以關鍵工業基礎設施為目標的蠕蟲病毒。Stuxnet同時利用微軟和西門子公司產品的7個最新漏洞進行攻擊。這7個漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5個針對Windows系統(其中MS10-046、MS10-061、MS10-073、MS10-092四個屬於0day漏洞),2個針對西門子SIMATIC WinCC系統,Stuxnet的電腦病毒已經感染了全球超過 45000個網路,伊朗遭到的攻擊最為嚴重,造成60%的個人電腦被感染。出手就是4個0day,就問你懵不懵?
NO 4:Shamoon(沙蒙)
Shamoon是一款旨在毀滅被攻擊組織內的系統的惡意軟體,其具備文件生成、網路連接、自啟動、硬碟清除等功能,於2012年首次部署在沙烏地阿拉伯最大的石油生產公司沙特阿美的網路上。該惡意軟體是會將數據上傳到控制端後,會改寫硬啟動引導記錄(MBR)以及分區表導致電腦癱瘓,其在2012年的攻擊中摧毀了30000多台電腦。為了恢復運營,沙特阿美利用其龐大的私人飛機機隊和可用資金購買了世界上大部分的硬碟驅動器,從而導致價格高升….
NO 5:TRITONe
Triton於2017年在沙烏地阿拉伯石化廠被首次發現,該惡意軟體以施耐德電氣Triconex安全儀錶控制系統為目標進行攻擊,造成中東多家能源工廠停產。SIS系統是工控的重要防線,當生產系統出現異常,SIS會執行預定程式,防止設備故障而爆炸、火災等事件。
構造TRIRON的難點在於:
1.具備相關硬體及軟體環境
2.逆向及分析產品特點及專用通訊協議
3.利用分析結果,構造可造成破壞性、傳播性的程式
4.將程式
NO 6:Industroyer
Industroyer是一種惡意軟體框架,其可以控制斷路器導致變電站斷電,於2016年12月17日在烏克蘭電網的網路攻擊中使用。
主後門:用於控制惡意軟體的所有其他組件。它連接到其遠程C&C伺服器,以接收來自攻擊者的命令。
輔助後門:提供了一種替代的持久性機制,允許攻擊者重新獲得對目標網路的訪問。
啟動器組件:一個單獨的可執行文件,負責啟動有效負載組件和數據游標組件。啟動器組件包含特定的激活時間和日期。
數據擦除器組件:旨在擦除系統關鍵的註冊表項並覆蓋文件,從而使系統無法啟動並更難於從攻擊中恢復
四個有效負載組件針對以下標準中指定的特定工業通訊協議:IEC 60870-5-101,IEC 60870-5-104,IEC 61850和用於過程式控制制數據訪問(OPC數據訪問)的 OLE,這些協議廣泛利用於需要電力進行控制的行業。
NO 7:DUQU
Duqu是一款具備遠控功能的偵察程式,最早出現在2011年9月,大多數Duqu出現在工控系統中。
Duqu架構所使用的語言高度專業化,能夠讓有效負荷DLL同其它Duqu模組獨立,通過多種途徑包括Windows HTTP、網路埠和代理伺服器同C&C建立連接。還能夠讓有效負荷DLL直接處理來自C&C的HTTP伺服器請求,甚至可以在網路中的其它電腦上傳播輔助惡意程式碼,實現可控制並且隱蔽的感染手段,殃及其它電腦。其為訂製攻擊框架,不同組件是在不同時間創建。
感染DUQU後,攻擊者可下載附加模組,以豐富惡意軟體的功能,其C&C通訊模組採用未知程式語言進行編寫。其傳播方式由攻擊者的攻擊指令後進行傳播,攻擊方式由"人"控制,與利用0DAY自動傳播的蠕蟲相比可以看出,它倆的目的不同,DUQU的目標為指定目標
從程式碼風格、設計邏輯等可以看出,DUQU和Stuxnet(震網)蠕蟲應為同一個團隊編寫。細想,先利用DUQU收集詳細數據再用Stuxnet實施精確攻擊,卻是合理。
NO 8:PlugX
PlugX 是一款模組化遠控程式,常見於亞洲和米國,依靠執行簽名和合法的可執行文件來載入惡意程式碼。通常,PlugX 有三個主要組件,一個 DLL,一個加密的二進位文件和一個合法且經過簽名的可執行文件,使用DLL搜索順序劫持的技術載入惡意軟體。
NO 9:Uroburos
Uroburos是一種p2p傳播的惡意程式,由兩個文件組成:驅動和加密的虛擬文件系統,Uroburos能夠竊取數據和記錄網路數據流量。其模組化的結構支援攻擊者通過附加功能增強惡意軟體。Uroburos的驅動部分極其複雜,設計異常離散,難以辨認,由於這種靈活性和模組化它是Turla APT攻擊的核心部分,早在2008年就已在歐洲,美國和中東的受感染電腦出現。目標通常包括政府實體。在45個國家/地區都可以看到它,2014年還發現了Linux變體。
NO 10:WARRIOR PRIDE
此列表中唯一的移動惡意軟體,WARRIOR PRIDE是由米國國家安全局和鷹國GCHQ聯合開發的工具。它可以在Android和iPhone上運行,有關它存在的消息是2014年斯諾登泄密事件發生的。
在功能方面,iPhone版本比Android版本先進得多。它可以從受感染的主機中檢索任何內容,通過靜默啟用麥克風來收聽附近的對話,並且即使手機處於睡眠模式也可以正常工作。
NO 11:Olympic Destroyer
在2018年平昌冬季奧運會開幕式期間,Olympic Destroyer被部署在網路上,電視台和記者大多受到這次襲擊事件的影響。
據稱,Olympic Destroyer是由鵝羅斯黑客創建,對國際奧委會的一場報復,原因是反抗俄羅斯運動員參加冬季奧運會的興奮劑指控,以及禁止其他人在鵝羅斯國旗下的競爭。惡意軟體本身就是一個資訊竊取程式,它將應用程式密碼轉儲到受感染的系統上,使得黑客用它來升級對系統的訪問許可權,此後他們觸發數據擦除攻擊,導致一些伺服器和路由器崩潰。在攻擊發生幾個月後,即2018年6月,新的Olympic Destroye版本再次被發現。
NO 12:WARRIOR PRIDE
VPNFilterVPNFilter是一個多階段、模組化具有多種功能的、可支援情報收集和破壞性網路攻擊操作的惡意軟體。目前正在全球蔓延,預估有54個國家遭入侵,受感染設備的數量至少為50萬台。
NO 12:WannaCry
wannacry(漏洞編號:MS17-010)是首個以系統漏洞傳播的勒索蠕蟲(Ransomworm),全球150餘個國家的20多萬台電腦受到勒索蠕蟲感染,造成損失多達80億美元,眾多大型企業系統及資料庫文件被加密後,造成無法運作,影響非常巨大。WannaCry的變種導致中國台灣半導體製造公司(台積電)於2018年8月暫時關閉其幾家晶片製造工廠,該病毒在台積電最先進設備中擴散至10000台機器。
NO 12:EnternalBlue
EnternalBlue本身可能並不是惡意軟體,在這個詞的經典含義中,更多的是一種利用方式,當然,它仍然是由國家開發的,算是符合這份清單。EnternalBlue由米國國家安全局創建,並於2017年4月公開,結果,當時有一群名為The Shadow Brokers的神秘黑客公布了該程式碼。
公布之後,它是先被用於加密貨幣挖掘活動,而真正成為一個廣為人知和可識別的術語,是在它被嵌入到2017年三個勒索軟體爆發的程式碼中,即WannaCry,NetPetya和Bad Rabbit。
從那以後,EternalBlue一直沒有消亡,並且被各種網路犯罪行為廣泛使用,通過利用Windows電腦上錯誤配置的SMBv1客戶端,將EternalBlue作為傳播到受損網路內其他系統的機制。
參考鏈接:https://www.zdnet.com/pictures/the-worlds-most-famous-and-dangerous-apt-state-developed-malware/18/
寫文不易,雖是參考,但只是給個目標,具體內容已經參閱各類資料進行了細化,很費時間和精力的事情。覺得好的點個好看和關注吧,謝謝了。
