繼較早前在發電廠發現惡意程式入侵之後,研究人員再在一家沒公開名稱的歐洲能源企業內,發現到具高度針對性的惡意程式「SFG」,並形容背後的黑客團體具有「國家支援」的級數,而且現時只是第一階段攻擊,往後可能會有更大新發現。
首要任務是避過偵測
SFG的主要功能是避免受到保安方案的偵測,如果發現身處虛擬環境(例如Sandbox)便不會執行,也可以繞過裝置上防毒軟件的偵測。此外,還具有針對Windows漏洞CVE-2014-4113和CVE-2015-1701,也能夠繞過Windows User Account Control(UAC)對用戶的權限限制,再記錄在一個於開機過程初期的二進制檔案內。
另外,SFG還會有系統地移除已安裝在裝置上的保安方案,成功後才會在登入的時候導入其他更危險的惡意程式,明顯是為以後的行動作好準備。由於程式把自己放在開機的前期,所以想把它移除將會非常困難。
潛伏盜取資料
惡意程式具有三個主要的邪惡功能:
1. 控制節能工具:關閉Windows上的睡眠和休眠模式,使裝置一直保持與C&C伺服器的連線。
2. 木馬程式:盜取用戶權限和資料,再傳送到黑客的伺服器。
3. 不明程式:傳送裝置上一系列保安程序到C&C伺服器,即使理論上保安方案已經被移除。
更大型攻擊隨時來臨
研究人員認為,當裝置的保安方案被移險,黑客已經能夠為所欲為,現時因為C&C伺服器已經關閉,所以無法知道它還能控制甚麼惡意破壞和指令,似乎現時只是大型攻擊的第一階段,無法計算可能受感染的受害者數目,不過依照針對大型企業的特性,數量其實並非重點。
最後,研究人員強調SFG非常專業,不只是移除保安方案的技術,其編碼也十分專業,它的API屬於不常公開的類型,編寫的人非常熟識Windows運作與及過去數年改變,就像國家級別的層次,因為一般罪犯並不需要如此高效能。
資料來源:Threatpost