針對Windows設(shè)備的新惡意軟件活動采用了一種新穎的黑客技術(shù)以控制由此產(chǎn)生的僵尸網(wǎng)絡(luò)，其背后的黑客組織使用P2P網(wǎng)絡(luò)來隱藏其通信。

IPStorm惡意攻擊活動
這一網(wǎng)絡(luò)犯罪分子發(fā)起的惡意活動是在今年5月被發(fā)現(xiàn)的，被稱為IPStorm——InterPlanetary Storm的縮寫。其背后的黑客組織很可能從Storm這個名字中獲取的靈感——這是一個P2P蠕蟲活動，在2007年首次出現(xiàn)之后開始泛濫? 。目前還不知道是哪個黑客組織發(fā)起了IPStorm活動，其歸屬地點(diǎn)也不得而知，但該惡意軟件明顯具有“反向shell”功能，可以讓黑客在受感染設(shè)備上執(zhí)行任意PowerShell代碼。

根據(jù)網(wǎng)絡(luò)安全公司研究人員的說法，該惡意軟件的獨(dú)特之處在于它是第一個在野發(fā)現(xiàn)的使用IPFS的p2p網(wǎng)絡(luò)進(jìn)行命令和控制通信的惡意軟件。通過使用合法的p2p網(wǎng)絡(luò)，此惡意軟件可以隱藏其網(wǎng)絡(luò)流量。

其中IPFS是一個開源的P2P文件共享網(wǎng)絡(luò)，旨在作為共享和存儲文件的手段，供用戶在分散的系統(tǒng)中下載和托管內(nèi)容。例如在某個國家本來是阻止訪問維基百科的，但通過IPFS服務(wù)就可以托管維基百科的一個版本供其訪問。

“通過將各個功能拆解為不同的Go包，代碼庫更易于維護(hù)。此外，威脅行為者可以將其分解為多個模塊，以便更換或重用功能，”

防病毒檢測技術(shù)
IPStorm還添加了幾種防病毒檢測技術(shù)，例如睡眠、內(nèi)存分配和隨機(jī)數(shù)生成，其中內(nèi)存分配函數(shù)非常簡單，核心功能部分如下圖所示：

運(yùn)用這些技術(shù)，在IPStorm進(jìn)入Windows系統(tǒng)并將其自身安裝在預(yù)定列表的文件夾中幫助其不被發(fā)現(xiàn)，其中大多數(shù)假文件夾都與Microsoft或Adobe系統(tǒng)相關(guān)。這種做法的妙處在于即使用戶發(fā)現(xiàn)了該文件夾也不會懷疑什么。

惡意活動目的不明
目前，此惡意活動的最終目標(biāo)仍然未知——但可預(yù)見的是，其能夠用于各種惡意活動。
僵尸網(wǎng)絡(luò)通常用于DDoS攻擊、服務(wù)備份木馬，或構(gòu)建代理網(wǎng)絡(luò)。僵尸程序允許威脅行為者執(zhí)行他們選擇的任何PowerShell代碼。此外僵尸網(wǎng)絡(luò)還能不斷更新，隨時添加新的惡意功能 。

該惡意軟件安裝在以下位置：
PHYSICALDRIVE0\AppData\Local\Packages\%s_%s\AppData
在分析該惡意軟件時，研究人員指出，雖然IPStorm目前僅針對Windows系統(tǒng)，但樣本中的元數(shù)據(jù)表明攻擊者可能正在編譯它以感染其他操作系統(tǒng)，如macOS系統(tǒng)。

截至2019年6月，該僵尸網(wǎng)絡(luò)由不到3000臺設(shè)備組成。雖然IPStorm的規(guī)模相對較小，但很可能是由于其還處于早期階段。

ice

收藏 海報分享