恶意软件经常做奇怪的事情,但是这一次 – 它看起来像一个企业域控制器上安装Skype – […]
恶意软件经常做奇怪的事情,但是这一次 – 它看起来像一个企业域控制器上安装Skype – 是最“奇特,”吉姆巴特沃斯,在ManTech国际公司安全专家,其安全性子公司HBGary最近发现的自定义设计的说客户的网络上的远程访问木马。
Skype的前瞻性标本第一似乎简单地将支持Skype的通讯流量,但是它被安装在一个不寻常的目录位置和配置为作为一个独立的VoIP应用。一个尖端取舍,这是恶意软件是在非高峰时段和系统管理员已获得到域控制器的困难发生的奇怪的网络流量高峰。仔细看Skype的标本在从域控制器中删除可执行文件表现出创造性的攻击者曾使用旧的Skype软件开发工具包(SDK)的修改版本,并把它变成一个远程访问木马窃取公司数据。
该恶意软件已经完成了很多曾预测大约在八年前做才能利用Skype的时候“研究人员发现使用Skype作为一个远程控制程序的能力,”北海,商业服务,ManTech公司执行董事说。
+还网络世界微软终于推出的Skype Outlook集成为所有用户 +
该恶意软件已经使用它存在之前微软收购Skype的老“SkypeKit”SDK的一个修改版的设计,并且它似乎包含后门功能。
该恶意软件是一个受害者的网络中,这不是在别处找到了一次性的实例,但在这种情况下,它被用来连接到网络外的Skype的帐户寻找到世界各地的不同地点,窃取公司数据。
在已出版的有关这一切的报道,HBGary指出,“通常,SkypeKit客户端将需要一个证书来启动与Skype服务器的会话。该后门程序包含这样一个证书,并将其传递给Skype的API调用,但这只是对于与SkypeKit运行时的兼容性;运行时的修改后的版本不使用它进行身份验证(如期间颠覆这一步的分析验证),通过身份验证后,它等待传入的消息事件,并把它们作为命令。
“如果Skype通常在受感染的系统上使用,网络流量将呈现什么不寻常。”
巴特沃思说,这一切一直是最“奇特”的恶意软件,他看到到目前为止标本,以及它是如何公开可用的SDK可用于创建恶意软件隐藏在众目睽睽警告。
“此次攻击并非在推进它的发展,它也没有包含大量的隐性方面的那样,”HBGary报告的结论。“攻击者知道,在众目睽睽下隐藏并以某种方式涉及到常用的识别程序时,他们很可能能够留在雷达之下,这仍然是对这一事件的情况下,若没有对超出的带网络活动和本机的关键性存在了。“