Stealthy Cyber​​espionage恶意软件目标能源公司

安全研究人员已经发现了一种新的恶意软件威胁，以在瞄准能源公司的同时保持未被发现。

安全公司SentineLone的研究人员有Dubbed Furtim的父母，是一个所谓的滴管 - 一个旨在下载和安装其他恶意软件组件和工具的程序。研究人员认为它在5月份发布，并由国家赞助的攻击者创造。

DOPPERS的目标是为安装可以执行专门任务的其他恶意软件组件准备该字段。他们的优先事项是保持未被发现，获得特权访问和禁用现有保护。这些都是Furtim的父母所做的所有任务。

当它首先在系统上执行时，恶意软件测试虚拟机，沙箱，防病毒程序，防火墙，恶意软件分析师使用的工具，甚至生物识别软件的环境。

测试是广泛的。它们涉及检查CPU ID，主机名，文件名，DLL库，目录，CPU核心信息，内核驱动程序，运行进程，硬盘供应商信息，网卡，MAC地址和BIOS信息 - 由已知虚拟化留下的伪影和安全应用程序。

在某些情况下，如果检测到此类软件，则恶意软件将终止。在别人中，它将继续运行，但会限制其功能，并在防病毒程序的情况下，它将尝试禁用它们。

这些测试的深度和复杂性表明恶意软件的创作者对Windows和安全产品具有很好的理解。这一LED研究人员认为Furtim的父母是多个开发人员的工作，具有高级别的技能和获得相当大的资源。

恶意软件不会在磁盘上安装常规文件，而是作为NTFS替代数据流（广告）。它在计算机启动过程中启动，并调用低级未记录的Windows API，以绕过安全产品使用的行为检测例程。

“间接子程序调用的使用使手动静态分析几乎不可能，并且手动动态分析痛苦和缓慢，”Sentinelone研究人员在周二的博客文章中说。“作者特别注意，尽可能长时间保持这种样品。”

恶意软件使用两个Windows权限升级漏洞，2014年由Microsoft修补，2015年的一个，以及已知的用户帐户控制（UAC）旁路技术，以获得管理员权限。如果获得此访问，则它将当前用户添加到管理员组，以避免在不同的帐户下运行并提出怀疑。

一旦安装了它，恶意软件静默禁用多个防病毒产品的保护层，并劫持系统的DNS设置，以防止访问特定的防病毒更新服务器。这可确保为下载和执行其有效载荷设置地面。

由Sentinelone研究人员观察到的一个有效载荷用于收集来自受感染系统的信息，并将其发送回命令和控制服务器。这很可能是一个侦察工具，但丢弃器也可用于下载旨在提取敏感数据或执行破坏性动作的组件。

能源生产和分销公司是国家赞助的网络禁区有吸引力的目标，因为他们的系统可能被用来造成物理损坏。这是在乌克兰12月发生的事情，当黑客使用恶意软件闯入公用事业并导致大规模的停电。