热点关注:   华龙一号 国和一号 中广核 核燃料 中核集团 核反应堆 核电设备 乏燃料 国家电投 智慧核电 运营维护 工程建设 仪控与电气 材料国产化

网络安全公司Cyber​​bit发布印度库丹库拉姆核电站网络攻击研究总结

2019-12-13 17:15    印度  印度核电  库丹库拉姆核电站  核安全

继印度库丹库拉姆核电站(Kudankulam)外部网络遭恶意软件感染事件后,近日,网络安全公司Cyberbit发布了针对该事件的最终分析报告。报告中指出:对发电厂攻击中使用的Dtrack RAT恶意软件变种的分析发现,该恶意软件的变体是经过精心定制的,并且专门针对该发电厂攻击。因为它对核电站的内部网络的凭据进行了硬编码,恶意软件删除程序与该公司以前研究过的恶意软件共享技术:BackSwap(一名银行木马)和Ursnif(一名银行/窃取木马)类似。该公司表示:有效...


印度库丹库拉姆核电站(Kudankulam)外部网络遭恶意软件感染事件后,近日,网络安全公司Cyberbit发布了针对该事件的最终分析报告。

报告中指出:对发电厂攻击中使用的Dtrack RAT恶意软件变种的分析发现,该恶意软件的变体是经过精心定制的,并且专门针对该发电厂进行攻击。

因为它对核电站的内部网络的凭据进行了硬编码,恶意软件删除程序与该公司以前研究过的恶意软件共享技术:BackSwap(一名银行木马)和Ursnif(一名银行/窃取木马)类似。

该公司表示:有效检测这种类型的高度针对性的恶意软件可能会产生错误的结果,这就需要熟练的分析师。这对于大多数企业级来说是不可接受的解决方案,因此很难检测到这些病毒。

对此,该公司给予了以下建议:

•使用我们提到的哈希(SHA256)并将其列入黑名单。(*注:新的哈希值一直在出现,因为它们很容易更改。)

•使用ping -n命令搜索执行延迟执行的程序。

•搜索来自单个主机的网络配置命令的过度使用,例如“ netstat.exe”,“ net.exe使用”,“ ipconfig.exe”和“ netsh.exe”

•搜索添加通常称为“ WBService”的新服务的过程

•搜索正在对Microsoft进程执行代码注入/代码挖空的未签名文件

•查找描述与图标不匹配的文件。例如,描述为“安全银行启动器”的文件的“ VNC查看器”图标




阅读推荐

正在加载

阅读排行