根據(jù)安全服務(wù)供應(yīng)商FireEye公司透露，微軟正在著手處理一批來自中國(guó)的黑客，他們對(duì)微軟旗下的TechNet網(wǎng)站進(jìn)行了攻擊。

據(jù)FireEye透露，這組黑客名為APT 17（APT：Advanced Persistent Threat高級(jí)持續(xù)性滲透攻擊），他們以入侵國(guó)防企業(yè)，法律公司，美國(guó)政府代理，以及科技數(shù)據(jù)挖掘公司聞名。

TechNet是一個(gè)流量很高的網(wǎng)站，主要為用戶提供微軟產(chǎn)品的技術(shù)文檔，此外他們的論壇也很火，用戶可以在上面留評(píng)論，問問題，等等。

APT17組織還有一個(gè)外號(hào)，叫做DeputyDog，他們?cè)赥echNet網(wǎng)站上創(chuàng)建了一些賬戶，并在指定的網(wǎng)頁上留下大量評(píng)論，這些評(píng)論包含了加密域名，一旦計(jì)算機(jī)被他們的惡意軟件感染，就會(huì)被指向到一個(gè)特定網(wǎng)址。

Bryce Boland是FireEye公司亞太區(qū)首席技術(shù)官，他表示，那個(gè)加密域名之后會(huì)將中毒者的計(jì)算機(jī)“拖到”一個(gè)由命令行控制的服務(wù)器上，該服務(wù)器屬于APT17組織服務(wù)器的一部分。APT17頻繁采用的技術(shù)，是讓受感染的計(jì)算機(jī)與一個(gè)中間域名建立聯(lián)系。通常來說，黑客采取的手段就是要讓被感染的機(jī)器與一個(gè)看上去不是很可疑的域名建立聯(lián)系。

“如果你發(fā)現(xiàn)TechNet的流量出現(xiàn)激增，那太正常不過了，”Boland說道。

有時(shí)，命令行控制的域名會(huì)被嵌入到惡意軟件里面，但是這種做法很容易就能被殺毒軟件給識(shí)別出來。當(dāng)然，惡意軟件也會(huì)使用算法加密，然后自動(dòng)生成一些惡意域名，不過殺毒分析師可以利用反向工程識(shí)別出這種病毒植入模式。

安全專家發(fā)現(xiàn)，黑客也會(huì)濫用一些合法域名和服務(wù)器，比如Google Docs和Twitter，這種方式和APT17所希望達(dá)到的目的是一樣的。“對(duì)于任何一個(gè)開放平臺(tái)來說，這都會(huì)是個(gè)挑戰(zhàn)，”Boland說道。

現(xiàn)在，一旦被感染的機(jī)器訪問了那些惡意域名，F(xiàn)ireEye和微軟就會(huì)發(fā)現(xiàn)問題，并且將TechNet網(wǎng)站上對(duì)應(yīng)的惡意加密域名給刪除掉。據(jù)Boland透露，黑客組織APT17已經(jīng)覬覦微軟客戶多年，當(dāng)然期間還存在其他一些黑客組織，他們會(huì)使用釣魚式攻擊，比如通過電子郵件的方式發(fā)送帶有惡意軟件的連接或附件。

FireEye發(fā)現(xiàn)，在過去的數(shù)年里，黑客組織APT17已經(jīng)在不少計(jì)算機(jī)內(nèi)植入了一款名為BLACKCOFFEE（黑咖啡）的惡意軟件，這款惡意軟件可以利用被感染的計(jì)算機(jī)上傳文件，刪除文件，并創(chuàng)建反向shell命令，等等。

VIA pcworld

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。