下载 | 只感染了100台电脑的恶意软件“弹弓” 卡巴发了25页的报告

卡巴发布了一份报告,称发现了潜伏6年的路由器恶意软件Slingshot弹弓,虽然在全球只感染了100多台计算机,但其功能异常复杂,其背后的开发人员已经花费了大量的时间和金钱。文末附报告下载

卡巴斯基在周五发表的长达 25 页的报告中提到:在一些已恢复的恶意软件样本中,他们留意到了一款名叫“弹弓”(Slingshot)的恶意软件。它可以说是迄今为止发现的最先进的攻击平台之一,背后很可能是一个资源相当充足的团队、甚至有着国家级背景。

Slingshot弹弓路由器恶意软件功能异常复杂

卡巴研究人员写道:

“Slingshot非常复杂,其背后的开发人员已经花费了大量的时间和金钱。“它的感染媒介非常显着,而且据我们所知,它是独一无二的。”

卡巴斯基还表示,Slingshot与多年前感染比利时电信和其它机要目标的先进后门 Regin、以及另一款名叫 Project Sauron 的恶意软件有得一拼。

Slingshot 的现身,揭示了另一个复杂的生态系统,即多个组件协同工作,以提供一个非常灵活、且运行良好的网络间谍平台。

这款恶意软件极为先进,从技术的角度上来看,通过新旧组件的结合、经过一系列深思熟虑的长期操作,它能够以非常优雅的姿势解决解决各种问题,这是很多资源丰富的一流操作者所期望的。

关于的复杂性,卡巴在弹弓FAQ中写道

然后,该DLL连接到硬编码的IP和端口(在每种情况下,我们都看到它是路由器的IP地址),下载其他恶意组件并运行它们。

要在具有Driver Signature Enforcement的操作系统的最新版本中以内核模式运行其代码,Slingshot会加载已签名的易受攻击的驱动程序,并通过其漏洞运行自己的代码。

感染后,Slingshot会将大量模块加载到受害设备上,其中包括两个巨大而强大的模块:内核模式模块Cahnadr和用户模式模块GollumApp。这两个模块相互连接,并能够相互支持信息收集,持久性和数据泄露。

最复杂的模块是GollumApp。这包含近1,500个用户代码函数,并提供了大多数上述用于持久性,文件系统控制和C&C通信的例程。

Canhadr也被称为NDriver,包含网络,IO操作等的低级例程。其内核模式程序能够执行恶意代码,而不会导致整个文件系统崩溃或造成蓝屏 – 这是一项了不起的成就。Canhadr / Ndriver以纯C语言编写,尽管存在设备安全限制,仍可完全访问硬盘驱动器和操作内存,并对各种系统组件进行完整性控制,以避免调试和安全检测。

卡巴尚不清楚Slingshot弹弓路由器恶意软件是如何感染目标的

研究人员暂不清楚 Slingshot 是如何感染上最初的目标的,不过在某些情况下,Slingshot的操纵者可以访问拉脱维亚制造商 MikroTik 制造的路由器、并在其中植入恶意代码。

有关路由器的具体技术细节也不明朗,但它们设计使用一个名为 Winbox 的 MikroTik 配置工具来下载动态链接库文件,比如“ipv4.dll”(由 Slingshot 开发者创建的恶意下载代理)。

卡巴斯基表示:

“Slingshot 是一款极其复杂的恶意软件,其背后的开发者显然投入了大量的时间和资金在创建上面。据我们所知,它的载体不仅引人瞩目,也是独一无二的”

卡巴斯基Slingshot APT报告

点击图片下载

发表评论