据安全公司FireEye的一份新报告称,一种名为Gh0st RAT的着名的网络间谍工具仍然被用于隐身恶意软件攻击。
专门从事恶意软件检测的FireEye发布它在2012年收集了来自数百名客户的数据。它查看了1,200万份不同的可疑活动报告,其中约2,000项被列为“高级持续性威胁”(APT),安全行业的术语是复杂的,难以检测的针对组织长期渗透的攻击
这些事件中的大多数都采用了Gh0st RAT,这是一种据信在中国开发的允许攻击者窃取我的远程访问工具来自受害者计算机的信息。 2009年,计算机安全研究项目Information Warfare Monitor和多伦多大学的研究人员报告了使用Gh0st RAT的广泛的网络间谍活动,该活动的目标是在103个国家/地区的1,000多台计算机上访问。<进一步阅读:如何删除FireEye市场研究高级主管Rob Rachwald表示:“Gh0st RAT”是许多类型APT活动中真正重要的部分,因为它是一种有效的工具。“FireEye的报告广泛地研究攻击者如何从受害者身上提取信息并控制受感染计算机上的恶意软件或“回叫”活动。他们2012年的数据显示,攻击者现在正在使用命令与控制服务器向184个国家的恶意软件发布指令,比2010年增加42%。
黑客还将偷来的信息插入到JPEG图像文件中为了使数据看起来更像普通流量。 FireEye说,该恶意软件还使用Twitter和Facebook等社交网站为受感染的机器发布指令。该公司注意到黑客行为的其他变化。通常,命令和控制服务器与受害者位于不同的国家。现在他们正在将命令基础设施定位在同一个国家,以使流量看起来很正常。但是对于一些国家来说,黑客并没有打扰目标国家的控制服务器。加拿大和英国都有高回报流量的海外比例。袭击者可能没有在那些国家这样做,因为“他们知道他们不会被发现,”Rachwald说,“
”