资讯频道 互联网
阅读更多

2顶
0踩

互联网

原创新闻 Duqu 2.0:成功攻入卡巴斯基公司内网的绝妙内存APT攻击

2015-06-11 09:54 by 正式记者 黑客不黑 评论(4) 有5318人浏览
Duqu 互联网 卡巴斯基

声明:ITeye资讯文章的版权属于ITeye网站所有,严禁任何网站转载本文,否则必将追究法律责任!




这个料很猛啊,知名安全公司卡巴斯基(Kaspersky)通过博客新闻稿承认,在今年早些时候的安全检查中,一款新的原型反APT系统发现公司内部系统被非常高明的攻击入侵。在详细的技术报告(PDF)与FAQ(PDF)里,卡巴斯基称这一攻击的理念与思路比之前的APT(包括2月份发现的Equation)要领先一代。开发成本估计达到5000万美元。

必须说,人家处理此类事故的公开透明态度还是值得称道和学习的。

卡巴斯基经过大调查,发现这是又一次精心组织、精密实施的APT攻击,只有国家支持的团队才有能力做到,他们明确指认幕后黑手就是2011年名噪一时的Duqu背后组织。因此卡巴斯基将此次攻击命名为Duqu 2.0。

技术分析显示,攻击的目标是卡巴斯基的知识产权(技术、研究和内部流程),而不是其用户数据,也没有盈利企图。Ars Technica的报道(长文,细节很多,推荐阅读)称,卡巴斯基方面无法排除是否有源代码被窃。

随后,赛门铁克发表报告称,Duqu 2.0除卡巴斯基之外,也影响了欧洲和北非各一家电信运营商,一家东南亚电子设备厂商,还有美国、英国、瑞典、印度和中国香港的企业。攻击者的行为在伊朗核问题多方谈判和奥斯维辛解放纪念活动期间都比较活跃。

为了安抚公司的客户和合作伙伴,并找回一点面子,Eugene Kaspersky本人在Forbes网站上专门写了一篇文章“Why Hacking Kaspersky Lab Was A Silly Thing To Do”(为啥黑卡巴是愚蠢行为),主要大意是:
引用
这次攻击很明显是一次国家支持的工业间谍行动,因为对手用了“极为创新和先进(原文是extremely innovative and advanced)”的恶意软件,而其中的手法也很绝,代价高昂,需要很多时间和人力来琢磨和开发。

这种攻击并不明智:你偷我的源代码有很大意义吗?软件总是在不断进步的嘛,偷来的代码很快就会过时。想了解我们公司内部怎么运作和技术机密?当然有些机密的,但是并没有什么葵花宝典,都是我们的人艰苦努力的成果而已,如果有兴趣可以多做技术交流嘛,而且我们也一直在对外授权很多技术。想了解我们正在进行的调查和研究方法,从而减少自己暴露的风险,还是说只是为了干掉高手、扬名立万?

很多国家的情报机构将互联网当作战场,这种思维方式是有问题的,会使数亿人面临新的风险。

我们来看看技术上的细节。下图是卡巴斯基技术报告(PDF)里的框架性概念图。



Duqu 2.0的最大特点是恶意代码只驻留在被感染机器的内存里,硬盘里不留痕迹,某台机器重启是恶意代码会被短暂清洗,但只要它还会连上内部网络,恶意代码就会从另一台感染机器传过来。这一手法是前所未见的。

恶意代码利用了一个Windows内核的0day漏洞。在四五月份卡巴斯基就向微软报告了这一漏洞,两周前以色列军方相关机构也通告了这一漏洞,现在已被修补,编号为CVE-2015-2360

整个攻击都依赖于这个漏洞,一旦漏洞被修补,全盘都不灵了。但是,这恰恰说明攻击者手里可能有很多这样的0day漏洞,一个被发现修补之后,还可以换用其他的,接着干。



Duqu 2.0执行恶意代码的方式也很妙,使用Windows Installer的MSI安装包加载恶意代码所需的资源并解密,再将执行权限交给内存中的代码,这样反病毒产品也很容易被骗过。

唯一在硬盘中存在的是与互联网相连的网络服务器上的一些Windows设备驱动程序,当网络里Duqu 2.0都被清洗时,攻击者还可以通过向这些服务器发送魔术字符串,让设备驱动程序重新下载Duqu主引擎,再次感染网络。因此想要完全清除Duqu 2.0,必须所有机器同时断电同时重启,而且在重启前还要找到哪些机器上有恶意驱动程序,把它们干掉。

此外,Duqu 2.0还有很多妙招。比如和Duqu一代那样,在图片文件里加密数据。



Duqu被很多安全专家认为与攻击伊朗核设施(也影响了印尼、印度和美国等国)的Stuxnet关系密切。此前CSDN对Duqu有过多篇文章报道
  • 大小: 87.1 KB
  • 大小: 368.4 KB
  • 大小: 211.4 KB
  • 大小: 26.6 KB
2
0
评论 共 4 条 请登录后发表评论
4 楼 rainshow 2015-06-13 17:06
听上去挺牛X的
3 楼 ^=^ 2015-06-13 00:24
毒蛆 worm啊
2 楼 somefuture 2015-06-12 16:48
这个组织叫“都去”吗
1 楼 lewe 2015-06-12 16:24
好NX啊

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 修改和读取ABAQUS文件_duqu_数据开发_ABAQUS_

    读取ABAQUS后处理数据,并修改ABAQUS输入文件,用于二次开发。

  • 卡巴斯基遭攻击 Duqu 2.0 翻译

    0x00 前言 今年年初,卡巴斯基实验室在安全扫描过程中,检测到了几个影响了自家内部系统的网络入侵行为。 ...接着我们大范围调查了这些入侵事件。...我们分析了这新一轮攻击,结果表明这是2011年Duqu木马的

  • 卡巴斯基:Duqu2.0病毒使用的数字证书窃取自富士康

    卡巴斯基实验室近日公开承认其公司网络遭APT攻击,而且被入侵长达数月未发现,经卡巴斯基实验室研究人员进一步的研究发现,入侵卡巴斯基和入侵伊朗核问题“六方”会谈(P5+1)承办酒店电脑的都是超级计算机病毒Duqu ...

  • 尤金·卡巴斯基:卡巴斯基实验室调查内网遭黑客攻击事件

    猫宁!!! 尤金·卡巴斯基介绍: 尤金·卡巴斯基出生于黑海沿岸的新罗西斯克,父亲担任工程师,母亲是书库...1989年10月,他的电脑感染了Cascade病毒,他成功的自行解毒,从此对于电脑病毒及资讯安全课题产生兴...

  • 全球140家银行感染Duqu 2.0,隐藏6个月无人发现

    本文讲的是全球140家银行感染Duqu 2.0,隐藏6个月无人发现, 两年前,卡巴斯基实验室的安全研究员发现...卡巴斯基实验室将这一恶意程序命名为Duqu 2.0。 现如今,无文件恶意程序正在变得越来越流行,因为一些利益...

  • 卡巴斯基遭遇APT攻击 隐藏数月未被发现

    本文讲的是 卡巴斯基遭遇APT攻击 隐藏数月未被发现,作为全世界领先的安全公司卡巴斯基,经常会披露它发现的各大机构被攻击的安全事件,但现在可以谈谈自己了。 尤金·卡巴斯基把这个APT恶意程序称之为Duqu 2.0,...

  • 八大典型APT攻击过程详解

    八大典型APT攻击过程详解 2013-08-27 17:55 启明星辰 yepeng 51CTO.com 字号:T | T APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。本文中,小编带你细数...

  • [网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)

    这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。...

  • 2015中国APT研究报告:中国是APT攻击的主要受害国

    一、针对中国发动攻击的APT组织 360天眼实验室于近期发布了《2015年中国高级持续性威胁(APT)研究报告》,揭示了针对我国的APT攻击技术演变趋势。根据报告显示,中国是APT(Advanced Persistent Threats,高级持续...

  • 从防御者视角来看APT攻击

    APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控、检测和缓解技术,并分别进行梳理,介绍分析代表性技术。这一篇分析现有的监控技术。

  • 重要 APT攻击事件的特征枚举

    根据对大量 APT 攻击事件的跟踪和分析,我们发现:虽然 APT 攻击具有明显的定制化特征,但是一般来 说,所使用技术和方法的差异主要出现在“突破防线”和“完成任务”两个阶段。1、专业提供 APT 攻击服务的组织操作 ...

  • 近5年典型的的APT攻击事件

    APT攻击 APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。 本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析 (为了加深自己对APT攻击的理解和学习) Google...

  • APT攻击分析

    这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,攻击十分精准。 在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。 Duqu主要收集工业控制系统的...

  • 从防御者视角看APT攻击

    前言APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,...如果我们把APT分成6个攻击阶段的话,一种经典的划分方式如下或者也可以画成金字塔这里我们假设攻击目...

  • DUQ U2.0 技术分析

    virustracker · 2015/06/12 14:34from:https://securelist.com/files/2015/06/The_Mystery_of_Duqu_2_0_a_sophisticated_cyberespionage_actor_returns.pdf0x00 前言今年年初,卡巴斯基实验室在安全扫描过程中,...

  • NetSpectre:通过网络读取任意内存

    最近公布的Spectre攻击就是利用这些保留下来的微架构状态来读取其他程序的内存内容。然而,Spectre攻击需要在目标系统上进行某种形式的本地代码执行。因此,只要攻击者无法在目标机器运行任何代码,该系统就被认为是...

  • 卡巴斯基实验室被攻陷后的四个未解之谜

    前几天,卡巴斯基实验室被Duqu 2.0攻陷的消息传出来后,尽管安全厂商对Duqu 2.0的代码和对攻击者采用的0Day攻击进行了深入分析,目前仍有许多未解之谜。先不说这事儿是谁干的,所有人的研究都仅限于把攻击来源确定为...

  • Programming MS Office 2000 Web Components第三章第一节

    译者说明:欢迎访问我的Blog:  http://blog.csdn.net/daidaoke2001/译文中的错误或不当之处望不吝指出,这也是我坚持翻译工作的最大动力。译文中标注了多个问号的地方,是我也不明白的地方,如果你知道如何翻译,请告诉我,让我们一起提高。我的Email:tangtaike@163.com如需转载,请事先通知。 第三章           图

  • Programming MS Office 2000 Web Components第四章第五节

    译者说明:欢迎访问我的Blog:  http://blog.csdn.net/daidaoke2001/译文中的错误或不当之处望不吝指出,这也是我坚持翻译工作的最大动力。我的Email:tangtaike@163.com如需转载,请事先通知。高级编程技巧          至此,您已经学会了如何完成一些基础的编程操作,现在让我们来讨论一些更高级的技巧。在第七章的销售分析和报

Global site tag (gtag.js) - Google Analytics