恶意软件Shamoon将文档变成攻击武器

IBM X-Force 事件响应与情报服务(IRIS)团队：臭名昭著的磁盘清除恶意软件Shamoon，利用启用宏的文档和PowerShell脚本感染目标系统。

目前成都创新互联公司已为近1000家的企业提供了网站建设、域名、虚拟空间、网站托管、企业网站设计、富县网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

最近，针对沙特阿拉伯和其他波斯湾国家的攻击中，发现了Shamoon 2的身影。该恶意软件还有另一个名称——Disttrack，其变种很多，包括一款能够攻击虚拟桌面基础架构(VDI)产品的。

赛门铁克近期进行的一份分析显示：Shamoon背后的攻击者，也就是很多人认为的伊朗黑客，可能有昵称为Greenbug的黑帽子相助。赛门铁克在同一系统中发现这两个恶意软件的存在后，将Greenbug和Shamoon联系了在一起。

X-Force IRIS 研究人员分析了最近一波的Shamoon攻击，确认最初的泄露可能在该恶意软件部署并激活前数周就已发生。

需要指出的是，很多案例中，Shamoon都被编程为在特定的日期和时间发动，尤其是在目标公司的员工不太可能注意到其活动的时候。

专家认为，攻击者采用武器化Office文档作为入口点。这些文档包含有恶意宏，一旦执行，就会启动命令与控制(C&C)通信，并通过PowerShell建立远程Shell。

这些恶意文件通常包含有简历和其他人力资源文档，通过渔叉式网络钓鱼邮件发送给目标用户。IBM发现的其中一些文档提到了一家位于埃及的软件人才服务公司——IT Worx，以及沙特阿拉伯的商务与投资部(MCI)。

文档一被打开，就会执行宏代码，然后启动PowerShell建立信道，使攻击者能够在被感染设备上远程执行指令。

攻击者还能借此部署其他工具和恶意软件，获得对受害者网络的进一步访问权。一旦关键服务器被发现，攻击者就可以部署Shamoon，清除硬盘数据，导致系统无法运作。

文档中发现的宏会执行两个PowerShell脚本，其中一个来自托管了跨平台远程访问工具(RAT)Pupy的某个域名。该RAT和域名，在对名为“魔法猎犬( Magic Hound )”的伊朗相关黑客活动的分析中也有出现。

IBM研究人员相信，最近的分析和沙特阿拉伯发布的警告，有可能会让Shamoon攻击者再次消失，就像他们在2012年沙特阿美行动后销声匿迹一样，并且为下一波攻击修改战术。

当前标题：恶意软件Shamoon将文档变成攻击武器
当前链接：http://www.shufengxianlan.com/qtweb/news42/56092.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联