安全研究人员近来发现了一种新的类似震网病毒的恶意软件,并将其命名为:Havex,早先这种恶意软件已被用在很多针对能源部门的网络攻击中。
就像著名的专门设计用来破坏伊朗核项目的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控制软件,这种木马可能有能力禁用水电大坝、使核电站过载、甚至可以做到按一下键盘就能关闭一个国家的电网。
安全厂商F-Secure首先发现这种木马并将其作为后门命名为W32/Havex.A,F-Secure称它是一种通用的远程访问木马(RAT,即remoteaccessTrojan),近来被用于从事工业间谍活动,主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。
SMARTY PANTS,TROJANIZED INSTALLERS
要做到这点,除了诸如利用工具包和垃圾邮件等传统感染方式外,网络罪犯们还会使用另一种有效的方法传播Havex,例如:渗透目标软件公司的Web站点,并等待目标安装那些合法APP的感染木马的版本。
在安装过程中,该木马软件释放一个叫做"mbcheck.dll"的文件,这个文件实际上就是攻击者用作后门的Havex恶意代码。
"C&C服务器将会指示被感染的计算机下载并执行其他组件",F-Secure称,"我们收集和分析了Havex RAT的88个变种,这些变种被用来从目标网络和机器获取权限并搜集大量数据。这份分析报告包括了对与那些变种有关的146个C&C服务器的调查,这些服务器涉嫌试图通过追踪大约1500个IP地址来定位目标受害者"。F-Secure没有指出被影响厂商的名字,但比较针对法国的一个工业机械制造商和两个教育机构和德国的很多公司。
信息搜集
Havex RAT配备了一个新的组件,其目的是通过利用OPC(开放平台通信)标准来收集网络和联网设备的信息。
OPC是一种通信标准,它允许基于Windows的SCADA应用与过程控制硬件进行交互。该恶意软件会扫描本地网络中会对OPC请求作出响应的设备,以搜集工业控制设备的信息,然后将这些信息反馈到C&C服务器上。除此以外,它也包含从受感染系统收集数据的信息收获工具,比如:
