继印度库丹库拉姆核电站(Kudankulam)外部网络遭恶意软件感染事件后,近日,网络安全公司Cyberbit发布了针对该事件的最终分析报告。
报告中指出:对发电厂攻击中使用的Dtrack RAT恶意软件变种的分析发现,该恶意软件的变体是经过精心定制的,并且专门针对该发电厂进行攻击。
因为它对核电站的内部网络的凭据进行了硬编码,恶意软件删除程序与该公司以前研究过的恶意软件共享技术:BackSwap(一名银行木马)和Ursnif(一名银行/窃取木马)类似。
该公司表示:有效检测这种类型的高度针对性的恶意软件可能会产生错误的结果,这就需要熟练的分析师。这对于大多数企业级来说是不可接受的解决方案,因此很难检测到这些病毒。
对此,该公司给予了以下建议:
•使用我们提到的哈希(SHA256)并将其列入黑名单。(*注:新的哈希值一直在出现,因为它们很容易更改。)
•使用ping -n命令搜索执行延迟执行的程序。
•搜索来自单个主机的网络配置命令的过度使用,例如“ netstat.exe”,“ net.exe使用”,“ ipconfig.exe”和“ netsh.exe”
•搜索添加通常称为“ WBService”的新服务的过程
•搜索正在对Microsoft进程执行代码注入/代码挖空的未签名文件
•查找描述与图标不匹配的文件。例如,描述为“安全银行启动器”的文件的“ VNC查看器”图标
免责声明:本网转载自合作媒体、机构或其他网站的信息,登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。本网所有信息仅供参考,不做交易和服务的根据。本网内容如有侵权或其它问题请及时告之,本网将及时修改或删除。凡以任何方式登录本网站或直接、间接使用本网站资料者,视为自愿接受本网站声明的约束。
