未加星标

【国际资讯】卡巴斯基:Petya跟BlackEnergy APT组织有关

字体大小 | |
[业界资讯 所属分类 业界资讯 | 发布者 店小二03 | 时间 | 作者 红领巾 ] 0人收藏点击收藏
【国际资讯】卡巴斯基:Petya跟BlackEnergy APT组织有关 2017-07-04 14:08:44 阅读:337次 点赞(0) 收藏 来源: threatpost.com
【国际资讯】卡巴斯基:Petya跟BlackEnergy APT组织有关 作者:360代码卫士

【国际资讯】卡巴斯基:Petya跟BlackEnergy APT组织有关

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


目标扩展相似

卡巴斯基和Palo Alto公司的研究人员指出,BlackEnergy和Petya之间的第一个相似之处在于目标扩展中。它们都“关注类似的扩展清单以及负责解析加密或擦除的文件系统的代码”。

卡巴斯基研究人员指出,他们尝试构建一个功能清单用于指定YARA规则以检测Petya和BlackEnergy擦除器。YARA是一种取证工具,用于检查不同的文件和目录从而找到基于签名的相似之处。

仔细检查BlackEnergy在KillDisk勒索软件中使用的和Petya擦除恶意软件使用的代码后发现了不太多的相似之处。不过,当作为更大的YARA规则的一部分时,他们之间的相似之处就非常精准了。

研究人员指出,虽然并不能以此认为两者之间一定存在关联,但它确实说明这些恶意软件家族在代码设计方面存在相似之处。


寻找幕后黑手

BlackEnergy APT组织一直以来都在使用0day漏洞、毁灭性工具和恶意代码攻击工控系统。它曾在2015年攻击乌克兰电力网并在多年来实施了一系列类似的毁灭性攻击。

近期,Petya跟擦除恶意软件相关而并非人们所普遍认为的勒索软件。虽然Petya拥有一个勒索软件组件,但它无法解密受害者磁盘,即使在支付勒索金的情况下也无法办到。

ESET公司开展的类似研究也发现了Petya和BlackEnergy之间的关联。ESET指出,跟BlackEnergy存在关联的一个组织TeleBots是Petya攻击的幕后黑手;它认为Petya恶意软件中的KillDisk加密组件是TeleBots的一个标志。研究人员指出,在攻击的最后阶段,TeleBots组织一直都会使用KillDisk恶意软件通过受害者磁盘上的具体文件扩展覆写文件。

BlackEnergy和TeleBots都曾针对乌克兰的关键基础设施和银行发动攻击。Petya攻击据称源自乌克兰金融软件提供商MEDoc的更新机制。而攻击也导致乌克兰一个城市的政府网站被攻陷且被用于一次通过路过式下载传播恶意软件的水坑式攻击中。

卡巴斯基实验室指出,这种不断追逐幕后黑手的过程正是促使他们跟全球其它研究人员一道调查它们的相似之处并发现更多相关事实的因素。

来自北约CCD COE的研究人员认为Petya攻击可能出自国家黑客之手,不过该组织认为幕后黑手到底是谁尚无法确定。它所发布的声明指出这种攻击行为可能会触发军事响应。


【国际资讯】卡巴斯基:Petya跟BlackEnergy APT组织有关
【国际资讯】卡巴斯基:Petya跟BlackEnergy APT组织有关 本文转载自 threatpost.com
原文链接:https://threatpost.com/researchers-find-blackenergy-apt-links-in-expetr-code/126662/

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

主题: 360城市黑客恶意代码金融
分页:12
转载请注明
本文标题:【国际资讯】卡巴斯基:Petya跟BlackEnergy APT组织有关
本站链接:http://www.codesec.net/view/557730.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(104)