当前位置:主页 > 非常文档
恶意软件Shamoon将文档变成攻击武器
日期:2017-05-30 浏览量:

IBM X-Force 事件响应与情报服务(IRIS)团队:臭名昭著的磁盘清除恶意软件Shamoon,利用启用宏的文档和PowerShell脚本感染目标系统。

恶意软件Shamoon将文档变成攻击武器

最近,针对沙特阿拉伯和其他波斯湾国家的攻击中,发现了Shamoon 2的身影。该恶意软件还有另一个名称——Disttrack,其变种很多,包括一款能够攻击虚拟桌面基础架构(VDI)产品的。

赛门铁克近期进行的一份分析显示:Shamoon背后的攻击者,也就是很多人认为的伊朗黑客,可能有昵称为Greenbug的黑帽子相助。赛门铁克在同一系统中发现这两个恶意软件的存在后,将Greenbug和Shamoon联系了在一起。

X-Force IRIS 研究人员分析了最近一波的Shamoon攻击,确认最初的泄露可能在该恶意软件部署并激活前数周就已发生。

需要指出的是,很多案例中,Shamoon都被编程为在特定的日期和时间发动,尤其是在目标公司的员工不太可能注意到其活动的时候。

专家认为,攻击者采用武器化Office文档作为入口点。这些文档包含有恶意宏,一旦执行,就会启动命令与控制(C&C)通信,并通过PowerShell建立远程Shell。

这些恶意文件通常包含有简历和其他人力资源文档,通过渔叉式网络钓鱼邮件发送给目标用户。IBM发现的其中一些文档提到了一家位于埃及的软件人才服务公司——IT Worx,以及沙特阿拉伯的商务与投资部(MCI)。

文档一被打开,就会执行宏代码,然后启动PowerShell建立信道,使攻击者能够在被感染设备上远程执行指令。

攻击者还能借此部署其他工具和恶意软件,获得对受害者网络的进一步访问权。一旦关键服务器被发现,攻击者就可以部署Shamoon,清除硬盘数据,导致系统无法运作。

文档中发现的宏会执行两个PowerShell脚本,其中一个来自托管了跨平台远程访问工具(RAT)Pupy的某个域名。该RAT和域名,在对名为“魔法猎犬( Magic Hound )”的伊朗相关黑客活动的分析中也有出现。

IBM研究人员相信,最近的分析和沙特阿拉伯发布的警告,有可能会让Shamoon攻击者再次消失,就像他们在2012年沙特阿美行动后销声匿迹一样,并且为下一波攻击修改战术。

【编辑推荐】

2017恶意软件情况报告

Kelihos荣升恶意软件之王

血雨腥风未止,IBM公布Shamoon恶意程序攻击链细节

恶意软件黑手已伸向Mac用户 披上安全“外套”已是当务之急

深入解说回避检测的恶意软件的机制

    相关文章:
    ·恶意软件Shamoon将文档变成攻击武器
    ·Office惊现零时漏洞 黑客可利用Word文档安装恶意软
    ·警惕你的PDF文档 腾讯安全专家一年发现过百漏洞
    ·福昕软件:全球PDF电子文档核心技术与应用领域领
    ·石墨文档成为创业公司文档协同软件的首选
    → 特别推荐
    恶意软件Shamoon将文档
    Office惊现零时漏洞 黑
    警惕你的PDF文档 腾讯
    福昕软件:全球PDF电子
    石墨文档成为创业公
    WPS Office增值服务 轻盈
    pdf文档怎么修改?如
    永中DCS玩转文档预览
    【文件管理】文件管
    word文档下载2014(wps
    TeamDoc文档管理软件免
    软件开发文档
    如何写软件设计文档
    Windows平台发现勒索软
    Google Go 1.8.3发布,修
    → 热点TOP10
    数据防泄密,
    迅捷PDF编辑器
    WannaCry勒索软件
    印象笔记·扫描
    pdf转换成word哪
    ROST文档相似性
    加入战局!谷
    文档加密软件
    以“人”为本
    推荐 15 款很棒

    友情链接/网站合作咨询: