在美国、南美、欧洲等政府机构的银行及电信公司常常遭到黑客攻击。根据一份来自康众智防网络安全试验的最新监测报告显示,全球至少有140家国家银行系统和大型企业感染了“几乎看不见”的恶意软件。安全专家警告,实际受感染的系统可能会高很多。
Duqu 2.0被认为是来源于Stuxnet,这是一种复杂的计算机蠕虫病毒,据说是美国和以色列合作制造的,用于破坏伊朗当局核系统的计算机蠕虫病毒。目前,类似的感染像野火一样蔓延到无数公司,包括许多国家银行。这些难以检测的感染使用合法的系统管理和安全工具,如PowerShell,Metasploit和Mimikatz并将恶意软件注入计算机内存。
选择不命名目前受到攻击的机构是有理由的,但是可以确定,这些“几乎看不见”的蠕虫病毒,现在正在全球40个不同的国家蔓延。美国,法国,厄瓜多尔,肯尼亚和英国是受影响最严重的五个国家。
这些系列攻击特别令人讨厌的是,除了检测不到之外,还不清楚是谁能够支持这一系列攻击。除非有人声称攻击,否则安全研究人员和政府当局根本无法准确定位到底是谁发动了攻击。
这些蠕虫病毒开始蔓延发生在2016年年底。然后,银行的安全团队在Microsoft的域控制器的物理内存上发现了一个Meterpreter的副本。法庭分析显示Meterpreter代码被下载并在PowerShell命令的帮助下注入内存。
受感染机器也使用Microsoft NETSH网络工具将数据传输到受攻击者控制的服务器。 Mimikatz被攻击者用于获取此类操作所需的管理员权限。为了清理日志,PowerShell命令隐藏在Windows注册表中,因此使得它难以跟踪。
本文暂时没有评论,来添加一个吧(●'◡'●)