返回新闻列表

卡巴斯基实验室发现“MiniDuke”—一款用于监视全球多个政府机构和研究机构的恶意程序

        新型复杂威胁整合了“老派”恶意软件编写者的技巧和最新的Adobe Reader漏洞,针对多个重要机构发动攻击,收集地缘政治情报。

        今天,卡巴斯基实验室专家团队发表了一份最新的研究报告,分析了一系列涉及使用最新发现的Adobe Reader(CVE-2013-6040)PDF漏洞的安全事件,并发现了一款最新的高度可定制化的被称为MiniDuke的恶意程序。过去几周内,MiniDuke后门程序被用来针对全球多个政府机构发动攻击。卡巴斯基实验室的安全专家携手CrySys实验室,对这些攻击进行了详细分析,并公布了调查结果。

        根据卡巴斯基实验室的分析,多个重要目标已经被MiniDuke攻击所攻陷,其中包括乌克兰、比利时、葡萄牙、罗马尼亚、捷克和爱尔兰的政府机构。此外,被攻陷的还包括一个研究学院,两个智囊团和一家美国医疗保健机构以及匈牙利一家知名的研究基金会。

        卡巴斯基实验室创始人兼CEO尤金·卡巴斯基说:“这是一次非比寻常的网络攻击。我记得这种风格的恶意程序出现于90年代末期和21世纪初。我怀疑是否这类恶意软件编写者是否在沉寂超过10年之后,又重新苏醒,加入到在网络世界创建最新复杂威胁之列。这些精英编程者或者说“老派”的恶意软件编写者在过去曾经创建出高度复杂的病毒,现在他们将这一技能同最新的能够绕过沙盒的漏洞利用技术结合,开始针对多个国家的政府机构和研究机构发动攻击。”

        尤金还补充道:“MiniDuke是一款高度可定制后门程序,由汇编程序编写,体积非常小,仅有20kb大小。通过结合,使得经验丰富的老派恶意软件编写者可以使用最新发现的漏洞利用程序和高明的社交工程技巧,从而造成多个重要被攻击目标面临极高风险。”

卡巴斯基实验室的主要研究发现:

  • MiniDuke背后的攻击者仍然在行动,其最近在2013年2月20日还创建了恶意软件。为了攻陷受害者,攻击者使用了极为有效的社交工程技巧,发送恶意PDF文档到受攻击目标。攻击用PDF同相关被攻击机构具有高度相关性,其内容是精心设计的,其中包括假冒的人权报告信息(ASEM)和乌克兰的外交政策以及北约(NATO)的成员国计划等。恶意PDF中包括漏洞利用程序,能够攻击版本号为9、10和11的Adobe Reader,并绕过其沙盒安全措施。这类漏洞利用程序的创建使用了专门的工具包,其所用工具包似乎同FireEye最近发现的攻击所用工具包一致。尽管如此,MiniDuke攻击中使用的漏洞利用程序同其目的不同,并针对其定制了自己的恶意软件。
  • 一旦系统的漏洞被成功利用,恶意程序会在系统磁盘上植入一个体积非常小的下载器程序,其体积仅为20kb。每个系统下的下载器程序都不同,其中包含以汇编语言编写的可定制后门程序。系统启动后,后门程序会载入,并使用一套数学算法确定每个计算机唯一的指纹,之后用这些数据进行通讯加密。后门程序还具有躲避硬编码工具分析功能,在特定环境下如VMware中。如果后门程序发现位于此类环境下,会保持空闲状态,而不会继续执行下一步功能,从而不会解密自身,将更多功能暴露出来。这表明,恶意软件编写者了解反病毒和IT安全人员为了分析和检测恶意软件所采取的手段。
  • 如果受攻击系统满足预设的需求,恶意软件会利用Twitter(在用户不知情的情况下)寻找预先设定的账号发出的特定tweet信息。这些账号是MiniDuke的命令和控制(C2)操作者创建的,其中的tweet信息包含特定标签,为后门程序指定加密URL链接。通过这些URL链接可以访问C2,并向后门程序发送指令,并家其他额外后门程序通过GIF文件的形式形式加密传送到系统。
  • 基于这些分析,似乎MiniDuke的创造者创建了一种动态备份系统,能够绕过反病毒检测。如果Twitter无法工作,或账户无法使用,恶意软件会使用Google搜索其他C2的加密字符串。这种模式非常灵活,使得操纵者可以不断变换后门程序获取命令或恶意代码的渠道。
  • 一旦受感染系统连接到C2,会接收加密的后门程序。这些后门程序采用GIF文件遮人耳目,伪装成图片进入受感染计算机。一旦下载到计算机,后门程序会下载更大的后门程序,这种后门程序能够执行一些基本的功能,例如拷贝文件、移动文件、清除文件、创建目录,结束进程等。当然,还能够下载和执行新的恶意软件。
  • The malware backdoor connects to two servers, one in Panama and one in Turkey, to receive instructions from the attackers.

        恶意软件后门连接到两个服务器,其中一个位于巴拿马,另一个位于土耳其。后门程序通过服务器接收攻击者的指令。

        想要阅读卡巴斯基实验室关于MiniDuke恶意软件攻击的详细研究报告以及预防措施,请访问: .

        卡巴斯基实验室系统将MiniDuke恶意软件检测为:Backdoor.Win32.MiniDuke.gen和Backdoor.Win32.Miniduke。卡巴斯基实验室还能够检测PDF文档中使用的漏洞利用程序,检测结果为Exploit.JS.Pdfka.giy..