想象一下这种情况:恶意软件运算符闯入网络,并在工作中找到另一个恶意软件。接下来发生什么?他们是否合作或攻击彼此?
我们所看到的是,攻击者更先进,它更危险到其目标网络中运行的另一个恶意软件。高级持久威胁(APTS)依赖于昂贵的多阶段工具,有时需要多年的时间来开发,因此,对于自己的操作安全,APT运营商需要能够在其目标上发现其他恶意软件。在同一网络上运行的低级恶意软件可能会引起目标的防御网格的注意力并冒着整个高级活动的风险。因此,APT运营商必须评估曝光的风险,并仔细计划其后续步骤。例如,他们可以尝试损害其他攻击者的工具并抢夺被盗数据。如果其他攻击者具有强大的立足点,则APT运算符可能会选择替代端点,矢量或方法,甚至可以放弃并继续前进到新目标。
但是,虽然高级攻击者可以选择如何采取行动,但是一旦另一个恶意软件进入他们已经漫游的网络,而低级攻击者则必须希望在运营时没有其他攻击者会尝试破解相同的目标。至少,这就是他们在Thanatos前所做的事情。
竞争恶意软件暗杀
Thanatos是一个新的恶意软件,上个月在世界各地的克里姆梅尔市场突然出现。通过Crimeware地下提供Thanatos作为订阅工具,每月1,000美元(或终身订阅为12,000美元)。它有许多插件可以提供不同的能力,最有趣的是,它是扫描目标网络的其他恶意软件的能力。Thanatos使用3-8个硬编码标志来搜索主机的任务计划程序,服务和注册表来查找恶意软件。一旦检测到可疑签名,than than选择性将其上传到Virustotal.com以确保它是恶意的,然后从主机删除它。另一个有趣的功能是它能够删除通过竞争恶意软件放置的钩子,以避免其他犯罪分子盗窃数据。
这些能力提高了恶意软件的运营安全性,同时防止其他罪犯成功攻击目标。根据发现这个工具的挑剔,Thanatos是用C ++,MASM和Delphi写的;它可以破解每个版本的Windows(从XP向后),可以将恶意代码注入IE,Edge,Chrome和Firefox浏览器。
创作者的目标很高
Thanatos的开发人员对他们的颅相寄予厚望;他们将产品宣传为“不是另一个宙斯看起来”,并将其一些插件描述为比宙斯那些更快的插件。与Gameover Zeus Campaign相比 - 2014年将其分布式赎金软件和数百万台机器进行了分布式赎金瓶和银行木工 - 非常令人不安。凭借其新的能力,Thanatos可能对寻找收入的低水平网络犯罪分子非常有吸引力,但没有技术诀窍如何生成它。
恶意软件的能力向我们展示了网络犯罪水域的红色。开发人员竭尽全力,确保没有其他罪犯将获得一块馅饼并使用选择性恶意软件检测来实现这一目标。价格标签相对便宜,如果是网络犯罪分子,这可能是下一个宙斯。
打击这种威胁不会简单。看起来好像开发人员计划进化他们的恶意软件,将其转化为更灵活的攻击平台。
Nitsan Saddan是Cymetria的威胁情报研究主管。
