文章目录
[+]
Crysys实验室的七名研究职员,在《APT攻击检测设备独立 测试报告》中写道,“霍比特人”可以尽可能的隐蔽,并利用多个方法来避免检测。事实上,该测试用例只是仿照了拥有一样平常资源的攻击者对最前辈检测工具的理 解,以及仿照恶意软件高等运作办法。比如,仿照组织化的罪犯针对高代价目标发起的攻击。
“霍比特人”是用C++编写的,并带有PHP做事器端。由于利用密写技能,以是从未在网络流量中检测到它。当用户点击图像后,才会通过脚本推送可实行文件,然后又通过殽杂的HTML和JavaScript躲避沙盒检测。
当用户被诱使点击时,“霍比特人”病毒会快速隐蔽命令、掌握HTML中流量,发送包括目录遍历、文件传输、命令实行等类型的命令。
(图片来自网络侵删)
其余还有一个不太繁芜的恶意软件绕过了这五个平台中的三个,其他普通的恶意软件都被这五个平台所捕获。
报告称,这项研究的紧张结论,便是恶意软件可以不费周折地绕过最新的反APT攻击工具。如果我们都能够开拓出这样的样本,让这些尚处在开拓阶段、实际上 还没有进行任何测试的工具产品无法检测得到,那么狡猾多真个攻击者们同样可能也能购买到这些产品,并且也可以开拓出类似的乃至是更好的样本。
