返回新闻列表

卡巴斯基实验室提醒用户警惕叙利亚恶意软件

        中东地区地缘政治冲突近几年有所加剧,尤其在叙利亚地区。同时,网络空间中的冲突也在加剧,各方势力均大肆利用网络情报制造混乱,试图在斗争中占据上风。卡巴斯基实验室最新发布的威胁研究报告揭示了大量同叙利亚相关的恶意软件。这些恶意软件会利用多种技巧,包括复杂的社交工程手段。虽然每天都会有新的恶意软件样本出现,但用户应该认识到,目前网络罪犯会利用这些攻击技巧和工具针对中东地区用户,尤其叙利亚用户发动攻击。

        “网络罪犯会综合利用多种因素接管和控制受害用户的整个系统,包括社交工程技巧、快速应用开发和远程管理工具。这对于安全警惕性不高的用户来说非常危险。我们预测,来自叙利亚恶意软件的攻击将持续增多,并愈发复杂。所以,用户应当对可疑链接保持较高的警惕性,在下载文件时一定要检查并确认其安全,同时需要在计算机上安装可靠和全面的安全解决方案”,卡巴斯基实验室全球分析和研究团队高级安全研究员Ghareeb Saad表示。

        近几年,叙利亚的网络攻击十分活跃,很多网络活动均与该国有关。名为叙利亚电子军(Syrian Electronic Army)的计算机黑客团体同针对多个重要组织的攻击均有关,受攻击机构和组织包括很多媒体资源。恶意软件通过社交网络进行传播,获取受攻击系统的控制权限,窃取机密数据。在数月之前受攻击的叙利亚网站上发现了一种Flash零日漏洞(CVE-2014-0515)。有报道称DarkComet RAT在叙利亚被广泛使用进行攻击,之后,DarkComet RAT的开发者宣布收回这一常用工具。

        卡巴斯基实验室的研究显示,网络罪犯利用这一地区的形势制造大量能够访问受害者数据的恶意软件。叙利亚恶意软件非常依赖社交工程技巧,利用人们的信任实现快速传播和感染。恶意软件会伪装成多种形式,包括假冒的反病毒扫描程序、社交通讯应用、嵌入木马的合法系统应用、社交网络下载以及免费的公共文件分享服务等。

        在我们分析的样本中,网络罪犯使用了臭名昭著的远程控制工具(RAT)Dark Comet完全监控系统。该工具不仅能够将用户的击键内容即时发送至远程服务器,还能令受感染系统处于危险状态,便于攻击者利用。叙利亚恶意软件使用了高级别的编程语言,这意味着恶意软件编写者很容易对其进行更改并测试新的恶意攻击行动,实施针对性攻击。叙利亚恶意软件还在不断演化,目前没有任何消退的迹象。

叙利亚恶意软件示例

        网络罪犯会大量使用令人不安的视频吸引用户的注意力,传播恶意软件。例如,网络罪犯会使用一段包含近期遭受爆炸袭击受害者的视频,令观看者产生恐惧,并从一个公共文件分享网站下载一款恶意应用。下载的文件会伪装成“MaxToCode”商业应用躲避反病毒解决方案的检测。执行后,该应用会自动生成一个可执行文件,同远程访问工具进行通讯。这款恶意软件中使用的木马会关闭部分安全设置,将用户的击键和系统信息存储起来,一旦与互联网连接,就会将这些信息发送给网络罪犯。

        在卡巴斯基实验室分析的恶意软件样本中,有一种在知名社交网站上经常出现的压缩文件,声称里面列出了叙利亚激进分子和受通缉的人员名单。下载这一数据库的下载链接包含在一个视频中,会将用户重定向到一个文件分享服务,让用户下载文件。用户下载的RAR压缩文件包含远程管理工具恶意软件,网络罪犯可以利用这些恶意软件控制受感染计算机。

        假冒的应用程序,包括假冒的反病毒程序经常被网络罪犯所利用。此外,还包括计算器、游戏载入程序以及其他更多假冒程序。例如有一种名为“Ammazon Internet Security”的恶意应用程序就伪装成安全扫描软件。我们分析该恶意应用的代码后发现,其功能主要同用户界面相关,根本不具备真正的安全功能。其本质不过是一些按钮加一个好记的名字而已。叙利亚的恶意软件团伙希望利用这一软件引诱用户落入他们设计的圈套。这一假冒的“安全软件”一旦运行,会在后台运行远程管理工具,让受害者的计算机暴露于危险之中,安装远程访问工具供网络罪犯使用。

        针对桌面操作系统的即时通讯应用程序也经常被用来传播恶意程序。叙利亚恶意软件编写者同样会利用这类假冒程序感染计算机用户。同“Ammazon Internet Security”相比,这类恶意软件样本甚至连用户界面都没有,也不会弹出安全警告信息,而是直接感染用户的计算机系统。

        研究还显示,甚至一些合法的应用程序也会被用来嵌入恶意软件,对叙利亚公民实施监控。提供安全应用程序,保护用户不被监控,是恶意软件编写团伙经常使用的欺诈技巧之一。这一手段可以让那些渴望保护个人隐私的用户运行一些可疑的程序。例如,网络罪犯会使用一种修改过的名为Total Network Monitor的软件获取用户系统信息,安装所谓的“合法”工具,隐藏自身所有的恶意行为。

了解网络罪犯的陷阱

        叙利亚恶意软件非常依赖社交工程技巧,同时还需要积极开发更多复杂的恶意软件变种。尽管如此,如果仔细研究这些恶意软件,他们中大多数很快将原形毕露。所以,我们再三提醒叙利亚的计算机用户务必仔细检查下载来源,在计算机上部署多层级的防御系统。用户如果需要使用在线服务,首要采取的措施就是使用最新的可靠的反病毒软件和防火墙,尤其在这种每天都会出现最新网络威胁的无常时期。

        反病毒软件使用特征或基于启发式的检测技术识别恶意软件。特征检测技术会在文件中寻找特定恶意代码特有的字节数据,而启发式检测技术则基于程序行为进行检测。卡巴斯基实验室收集到超过80款针对叙利亚公民和中东用户进行攻击的恶意软件样本。虽然这些恶意软件中大多数均是已知的,但网络罪犯会大量使用干扰工具和技术改变恶意软件结构,从而绕过特征检测技术的检测。这表明,在保护用户抵御这类攻击方面,启发式分析技术的重要性。卡巴斯基实验室的安全解决方案可以检测所有此类恶意软件,这归功于卡巴斯基实验室产品具有识别所有已知恶意软件变种,甚至全新恶意软件家族的能力。

        请访问Securelist.com浏览相关博文,了解更多详情。