黑客們協(xié)同開發(fā)了外星人間諜(AlienSpy RAT)軟件，這是一種遠(yuǎn)程連接工具，旨在一系列關(guān)鍵基礎(chǔ)設(shè)施上植入并傳播城堡(Citadel)銀行木馬。

[[131550]]

根據(jù)國防集團(tuán)通用動(dòng)力(General Dynamics)的下屬安全公司Fidelis報(bào)道，外星人間諜是基于Adwind、Unrecom和Frutas這些Java架構(gòu)的遠(yuǎn)程控制木馬開發(fā)的。Fidelis公司在本月8日發(fā)布的報(bào)告中表示，該惡意軟件通過偽造消息進(jìn)行傳播，目前已經(jīng)在科技企業(yè)、金融服務(wù)企業(yè)、政府機(jī)構(gòu)、能源設(shè)施中發(fā)現(xiàn)了該軟件。

Fidelis公司在報(bào)告中表示，他們相信該軟件通過統(tǒng)一軟件開發(fā)維護(hù)過程得以快速迭代，其功能集合正飛速擴(kuò)展，包括對(duì)安卓的多平臺(tái)支持，另外，它的行為還顯示出其它RAT軟件并沒有的逃避技術(shù)。

外星人間諜同時(shí)支持Windows、Linux、Mac OS X和安卓平臺(tái)。它表現(xiàn)出了RAT軟件的傳統(tǒng)行為，比如收集系統(tǒng)數(shù)據(jù)、建立后門以上傳惡意程序(包括鍵盤記錄器)、提取泄露數(shù)據(jù)，另外，它還能控制攝像頭、監(jiān)聽設(shè)備麥克風(fēng)、提供遠(yuǎn)程桌面控制、竊取瀏覽器中的信用卡信息、訪問文件?？偟膩砜?，一共有12個(gè)外星人間諜插件分別提供了這些能力。

當(dāng)今的版本還包括檢測(cè)自身是否運(yùn)行在VMware或者甲骨文Virtual Box之類的虛擬機(jī)中的功能。其余的自保功能還有關(guān)閉殺毒軟件以及其它安全工具、使用TLS和幕后服務(wù)器進(jìn)行加密通信。

使用傳輸加密是為了對(duì)軟件和幕后服務(wù)器的通信進(jìn)行偽裝，這樣的技術(shù)使得網(wǎng)絡(luò)防御者很難在公司網(wǎng)絡(luò)中找到惡意流量。

Fidelis公司破解了外星人間諜的一個(gè)配置文件，其中包含該軟件可以欺騙的一大串商業(yè)以及開源安全軟件，其中包括抓包工具Wireshark。

Fidelis公司抓到的一個(gè)樣本會(huì)投放城堡銀行惡意軟件，它在過去被用于關(guān)鍵行業(yè)的入侵上。它會(huì)偽裝成歷史訂單、匯款到賬通知、支付信息，讓受害者上鉤，執(zhí)行惡意軟件。該惡意軟件還會(huì)被整合在外星人間諜構(gòu)造中的Java混淆器Allatori所混淆。

這個(gè)樣本還曝光了幕后服務(wù)器的DNS信息(owoego[.]chickenkiller[.]com)，它使用9999端口進(jìn)行后門通信、虛擬機(jī)檢測(cè)，以及收集Java包所在文件夾、名稱、后綴、注冊(cè)表項(xiàng)的信息。

Fidelis公司建議各公司在看到.jar后綴的文件時(shí)不要讓員工打開，而是先進(jìn)行檢查。讓公司的關(guān)鍵人員打開可執(zhí)行的附件，可能存在安全風(fēng)險(xiǎn)。

原文地址：http://www.aqniu.com/tools/7274.html