根據(jù)安全服務(wù)供應(yīng)商FireEye公司透露，微軟正在著手處理一批來自中國的黑客，他們對微軟旗下的TechNet網(wǎng)站進(jìn)行了攻擊。

據(jù)FireEye透露，這組黑客名為APT 17（APT：Advanced Persistent Threat高級持續(xù)性滲透攻擊），他們以入侵國防企業(yè)，法律公司，美國政府代理，以及科技數(shù)據(jù)挖掘公司聞名。

TechNet是一個流量很高的網(wǎng)站，主要為用戶提供微軟產(chǎn)品的技術(shù)文檔，此外他們的論壇也很火，用戶可以在上面留評論，問問題，等等。

APT17組織還有一個外號，叫做DeputyDog，他們在TechNet網(wǎng)站上創(chuàng)建了一些賬戶，并在指定的網(wǎng)頁上留下大量評論，這些評論包含了加密域名，一旦計算機被他們的惡意軟件感染，就會被指向到一個特定網(wǎng)址。

Bryce Boland是FireEye公司亞太區(qū)首席技術(shù)官，他表示，那個加密域名之后會將中毒者的計算機“拖到”一個由命令行控制的服務(wù)器上，該服務(wù)器屬于APT17組織服務(wù)器的一部分。APT17頻繁采用的技術(shù)，是讓受感染的計算機與一個中間域名建立聯(lián)系。通常來說，黑客采取的手段就是要讓被感染的機器與一個看上去不是很可疑的域名建立聯(lián)系。

“如果你發(fā)現(xiàn)TechNet的流量出現(xiàn)激增，那太正常不過了，”Boland說道。

有時，命令行控制的域名會被嵌入到惡意軟件里面，但是這種做法很容易就能被殺毒軟件給識別出來。當(dāng)然，惡意軟件也會使用算法加密，然后自動生成一些惡意域名，不過殺毒分析師可以利用反向工程識別出這種病毒植入模式。

安全專家發(fā)現(xiàn)，黑客也會濫用一些合法域名和服務(wù)器，比如Google Docs和Twitter，這種方式和APT17所希望達(dá)到的目的是一樣的?！皩τ谌魏我粋€開放平臺來說，這都會是個挑戰(zhàn)，”Boland說道。

現(xiàn)在，一旦被感染的機器訪問了那些惡意域名，F(xiàn)ireEye和微軟就會發(fā)現(xiàn)問題，并且將TechNet網(wǎng)站上對應(yīng)的惡意加密域名給刪除掉。據(jù)Boland透露，黑客組織APT17已經(jīng)覬覦微軟客戶多年，當(dāng)然期間還存在其他一些黑客組織，他們會使用釣魚式攻擊，比如通過電子郵件的方式發(fā)送帶有惡意軟件的連接或附件。

FireEye發(fā)現(xiàn)，在過去的數(shù)年里，黑客組織APT17已經(jīng)在不少計算機內(nèi)植入了一款名為BLACKCOFFEE（黑咖啡）的惡意軟件，這款惡意軟件可以利用被感染的計算機上傳文件，刪除文件，并創(chuàng)建反向shell命令，等等。

VIA pcworld

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。