麻豆国内精品欧美在线-麻豆国内精品久久久久久-麻豆国产在线观看一区二区-麻豆国产在线观看免费-麻豆国产原创-麻豆国产一区二区在线观看

區塊鏈安全咨詢公司 曲速未來 消息：一個新的高級威脅行動者現在在敵人的公共地圖上，目標是關鍵基礎設施部門的系統。名稱是GreyEnergy，它顯示與BlackEnergy組的相似之處。

GreyEnergy惡意軟件目前沒有破壞性功能，它似乎專注于運行SCADA軟件和服務器的工業控制系統工作站上的間諜和偵察操作，很可能為破壞性攻擊做準備。

但是，它具有模塊化架構，這意味著它的功能可以進一步擴展。

安全研究人員觀察到的插件提供了諸如后門訪問，文件泄露，抓取屏幕截圖，記錄擊鍵和竊取憑據等功能。

用于惡意目的的合法工具

安全研究人員注意到，最初的攻擊階段使用了不同的惡意軟件，他們稱之為“GreyEnergy mini”-也稱為FELIXROOT，它不需要管理員權限。

它的任務是映射網絡并收集憑據，使主要惡意軟件具有完全控制網絡所需的權限。Nmap和Mimikats是為安全研究目的而設計的免費工具。

使用的其他合法工具包括SysInternals PsExec和WinExe，用于在受損網絡中執行橫向移動。

與BlackEnergy和TeleBots的鏈接

自2015年以來，研究人員一直在追蹤GreyEnergy，當時發現它針對波蘭的一家能源公司。還認為它是BlackEnergy的繼任者，并且還發現了與2017年NotPetya攻擊而聞名的TeleBots威脅組織的聯系。

BlackEnergy威脅演員負責 在網絡攻擊中使用同名惡意軟件和KillDisk導致2015年12月在烏克蘭停電。

“過去三年，已經看到GreyEnergy參與了對烏克蘭和波蘭的能源公司和其他高價值目標的攻擊。”負責該研究的高級安全研究員說。

除了兩者同時出現之外，還觀察到GreyEnergy與TeleBots子組之間的另一個鏈接。2016年12月，就注意到GreyEnergy部署早期版本的TeleBots的NotPetya蠕蟲病毒的實例-在改變，改進和部署歷史上最具破壞性的勒索軟件爆發前半年。此勒索軟件組件與GreyEnergy核心模塊之間存在大量代碼重用。然后稱這個早期版本為“Moonraker Petya”，基于惡意軟件編寫者對文件名的選擇-很可能是對詹姆斯邦德電影的引用。它沒有臭名昭著的EternalBlue傳播機制，因為它當時沒有泄露。

專為隱身操作而設計

觀察到兩種不同的感染媒介：“傳統的”魚叉式網絡釣魚，以及面向公眾的網絡服務器的妥協。當這種易受攻擊的Web服務器在內部托管并連接到目標組織網絡的其余部分時，攻擊者將嘗試橫向移動到其他工作站。該技術不僅用作主要感染載體，還用作備用再感染載體。

Stealth似乎是GreyEnergy的主要屬性之一，因為它的命令和控制（C2）服務器僅與受感染網絡上的特定計算機進行通信，這些計算機充當受感染工作站的代理。

在Duqu中可以看到這種操作方式，它被設計用于隱藏間諜活動，因為受感染的計算機與將信息中繼到C2的內部服務器進行通信，而不是外部系統，這將是一個紅旗。值得注意的是，C2服務器充當Tor中繼。

其中在一個惡意軟件樣本中發現了一個有趣的發現，該惡意軟件使用證書進行數字簽名，該證書是使用臺灣工業和物聯網硬件制造商研華的證書簽署的。這些很可能是從公司偷來的，就像Stuxnet和最近的Plead惡意軟件活動一樣。

由于發現使用完全相同的證書來簽署Advantech的干凈，非惡意軟件，所以認為該證書很可能被盜。值得注意的是，發現的樣本沒有副簽名，這意味著數字簽名證書的有效期屆滿后，該證書無效，

惡意軟件可以持久化或不持久化

區塊鏈安全咨詢公司 曲速未來 表示：GreyEnergy根據其滲透的機器類型部署其惡意軟件。據研究，一種方法是在系統內存中運行惡意軟件。選擇此方法的服務器具有較長的正常運行時間，重新啟動很少。

目標的第二類系統是惡意軟件需要持久性的系統，因為更高的重啟可能性。在這種情況下，將選擇現有服務并添加新的ServiceDLL注冊表項。此方法可能會破壞系統，并且為了避免這種結果，惡意軟件刪除程序需要運行篩選過程以搜索滿足一組要求的服務。

研究人員表示，GreyEnergy的目的是深入滲透到目標網絡并收集信息。與TeleBots不同，它不屬于破壞行業，但這并不排除破壞性能力在某一時刻可用的可能性。

但可以肯定的是，“對于GreyEnergy負責的威脅演員在他們的堅持和隱身方面極其危險?！毖芯咳藛T總結道。