根据安全服务供应商FireEye公司透露,微软正在着手处理一批来自中国的黑客,他们对微软旗下的TechNet网站进行了攻击。
据FireEye透露,这组黑客名为APT 17(APT:Advanced Persistent Threat高级持续性渗透攻击),他们以入侵国防企业,法律公司,美国政府代理,以及科技数据挖掘公司闻名。
TechNet是一个流量很高的网站,主要为用户提供微软产品的技术文档,此外他们的论坛也很火,用户可以在上面留评论,问问题,等等。
APT17组织还有一个外号,叫做DeputyDog,他们在TechNet网站上创建了一些账户,并在指定的网页上留下大量评论,这些评论包含了加密域名,一旦计算机被他们的恶意软件感染,就会被指向到一个特定网址。
Bryce Boland是FireEye公司亚太区首席技术官,他表示,那个加密域名之后会将中毒者的计算机“拖到”一个由命令行控制的服务器上,该服务器属于APT17组织服务器的一部分。APT17频繁采用的技术,是让受感染的计算机与一个中间域名建立联系。通常来说,黑客采取的手段就是要让被感染的机器与一个看上去不是很可疑的域名建立联系。
“如果你发现TechNet的流量出现激增,那太正常不过了,”Boland说道。
有时,命令行控制的域名会被嵌入到恶意软件里面,但是这种做法很容易就能被杀毒软件给识别出来。当然,恶意软件也会使用算法加密,然后自动生成一些恶意域名,不过杀毒分析师可以利用反向工程识别出这种病毒植入模式。
安全专家发现,黑客也会滥用一些合法域名和服务器,比如Google Docs和Twitter,这种方式和APT17所希望达到的目的是一样的。“对于任何一个开放平台来说,这都会是个挑战,”Boland说道。
现在,一旦被感染的机器访问了那些恶意域名,FireEye和微软就会发现问题,并且将TechNet网站上对应的恶意加密域名给删除掉。据Boland透露,黑客组织APT17已经觊觎微软客户多年,当然期间还存在其他一些黑客组织,他们会使用钓鱼式攻击,比如通过电子邮件的方式发送带有恶意软件的连接或附件。
FireEye发现,在过去的数年里,黑客组织APT17已经在不少计算机内植入了一款名为BLACKCOFFEE(黑咖啡)的恶意软件,这款恶意软件可以利用被感染的计算机上传文件,删除文件,并创建反向shell命令,等等。
VIA pcworld