網路間諜組織通過MikroTik路由器影響受害者
Kasperksy實驗室曝露了一個新的網路間諜組織。該組織利用MikroTik路由器感染受害者,研究人員描述該攻擊很「獨特」。
專家們稱該組織為Slingshot,有證據表明他們於2012年開始活動,並且在2018年2月依然活躍。
卡巴斯基專家表示,由於該組織活躍了超過五年,使用了極其複雜的惡意軟體,並進行了非常有針對性的行動。Slingshot應該是一個有國家背景的團體,而不是常見的以個人利益為重點的網路犯罪。
Slingshot依賴Windows漏洞,攻擊MikroTik路由器
最令卡巴斯基印象深刻的是整個黑客行動的複雜程度。該惡意軟體非常複雜,花費了昂貴的時間和金錢進行開發,而且沒有引發錯誤,傳播方式也是創新的。
儘管在某些情況下,Slingshot依靠經典的Windows漏洞來感染目標,但最常見的攻擊是那些攻擊者通過侵入MikroTik路由器傳播其payload。
Slingshot組織使用這些路由器作為中轉點將其他payload傳送到其所需的目標。他們通過Winbox Loader這樣做,這是MikroTik開發的一個應用程序,用於幫助Windows用戶配置路由器。
此應用程序的工作原理是從路由器本身下載一些DLL,但Slingshot組織將這些文件替換為惡意文件,通過Winbox Loader應用程序配置或重新配置路由器時感染用戶。
研究人員稱,Slingshot通常會感染兩個惡意軟體家族,即GollumApp和Cahnadr(被其他安全廠商檢測為NDriver)。兩種惡意軟體一起用於信息收集,持久性和數據傳輸。
Slingshot APT部署了GollumApp和Cahnadr惡意軟體
GollumApp是大型惡意軟體,具有近1,500個用於各種操作的代碼函數。Cahnadr更高級,因為它作為內核模式程序運行。
卡巴斯基專家表示,Cahnadr顯示了該組織的技能水平,因為惡意軟體甚至可以感染最新的Windows操作系統,並且沒有引發系統崩潰到BSOD。因為大多數內核級別的惡意軟體傾向於在某個點或另一個點觸發BSOD。
在最新的Windows版本中,Cahnadr通過使用一個非常聰明的技巧來獲得內核級別的訪問許可權。為避免Microsoft的驅動程序簽名強制阻止安裝未簽名的驅動程序,Slingshot組織會安裝較舊版本的合法驅動程序。然後,它使用這些較舊的驅動程序中的已知漏洞提升Cahnadr的許可權,以便訪問內核。
卡巴斯基表示已經通知了MikroTik有關Slingshot的操作模式,MikroTik已經修改了Winbox Loader軟體,因此它不會再從本地路由器下載任何內容。
至於溯源,卡巴斯基專家並沒有發表任何官方聲明,只是說「代碼中的文本線索暗示[Slingshot]是以英語為母語的。」
根據目前的證據,Slingshot專註於感染中東和北非的獨立個體—不是整個機構。
有關Slingshot的更多詳情,請參閱卡巴斯基實驗室發布的報告。
※Web Service和Web API滲透測試指南(一)
※深入剖析Trend Micro Smart Protection Server出現的多個漏洞
TAG:嘶吼RoarTalk |