這種不尋常的Windows惡意軟件是通過P2P網(wǎng)絡(luò)控制的

針對Windows機(jī)器的新惡意軟件活動采用了一種新穎的技術(shù)來控制由此產(chǎn)生的僵尸網(wǎng)絡(luò)，其背后的團(tuán)隊(duì)使用P2P網(wǎng)絡(luò)隱藏其通信。

這項(xiàng)運(yùn)動是在5月被發(fā)現(xiàn)的，被稱為IPStorm-- InterPlanetary Storm的縮寫 - 由其網(wǎng)絡(luò)運(yùn)營商發(fā)起。作者可能從Storm這個名字中獲取靈感 - 這是一個P2P蠕蟲活動，在2007年首次出現(xiàn)之后就變得臭名昭著 。目前還不知道IPStorm的作者是誰或者他們在哪里操作，但惡意軟件具有“反向shell”功能，可以讓黑客在受感染的機(jī)器上執(zhí)行任意PowerShell代碼。

根據(jù)網(wǎng)絡(luò)安全公司Anomali的研究人員的說法，惡意軟件的有趣之 處在于它是第一個在野外發(fā)現(xiàn)的惡意軟件，它使用IPFS的p2p網(wǎng)絡(luò)進(jìn)行命令和控制通信。通過使用合法的p2p網(wǎng)絡(luò)，惡意軟件可以在合法的p2p網(wǎng)絡(luò)流量中隱藏其網(wǎng)絡(luò)流量。

IPFS是一個開源的P2P文件共享網(wǎng)絡(luò)，旨在作為共享和存儲文件的手段，用戶在分散的系統(tǒng)中下載和托管內(nèi)容。其應(yīng)用程序的示例包括用于托管可以在阻止訪問它的/地區(qū)訪問的Wikipedia版本。

使用Go編程語言編寫，仍然不確定IPStorm如何開始其初始感染，但惡意軟件包的大小意味著代碼被分成多個部分。這表明攻擊者精通軟件開發(fā)，因?yàn)檫@使得惡意軟件更易于管理和更新。

“通過將功能分解為不同的Go包，代碼庫更易于維護(hù)。此外，威脅行為者可以將事物分解為模塊，以便更換或重用功能，”Anomali威脅的威脅情報(bào)經(jīng)理Joakim Kennedy說道。研究小組告訴ZDNet。

IPStorm還帶有幾種防病毒逃避技術(shù)，例如睡眠和內(nèi)存分配，在它進(jìn)入Windows系統(tǒng)并將其自身安裝在預(yù)定列表的文件夾中后仍然未被發(fā)現(xiàn)，大多數(shù)假文件夾都與之相關(guān)到Microsoft或Adobe系統(tǒng)。這個想法是，即使用戶看到該文件夾??，他們也不會想太多。

可執(zhí)行文件存儲在此文件夾中，并且還從預(yù)定列表中隨機(jī)選擇名稱。攻擊者似乎正在努力確保在受感染的計(jì)算機(jī)上很難發(fā)現(xiàn)IPStorm。

目前，此廣告系列的最終目標(biāo)仍然未知 - 但它可用于各種惡意活動。

“ 僵尸網(wǎng)絡(luò)通常用于DDoS，服務(wù)支持特洛伊木馬，或構(gòu)建代理網(wǎng)絡(luò)。僵尸程序允許威脅行為者執(zhí)行他們選擇的任何PowerShell代碼。僵尸網(wǎng)絡(luò)不斷更新，因此可以隨時(shí)添加新功能，”肯尼迪說。

在分析惡意軟件時(shí)，研究人員指出，雖然IPStorm目前僅針對Windows系統(tǒng)，但惡意軟件樣本中的元數(shù)據(jù)表明攻擊者可能正在編譯它以感染其他操作系統(tǒng)。