继印度库丹库拉姆核电站(Kudankulam)外部网络遭恶意软件感染事件后,近日,网络安全公司Cyberbit发布了针对该事件的最终分析报告。
20191213052540690.jpg
报告中指出:对发电厂攻击中使用的Dtrack RAT恶意软件变种的分析发现,该恶意软件的变体是经过精心定制的,并且专门针对该发电厂进行攻击。
因为它对核电站的内部网络的凭据进行了硬编码,恶意软件删除程序与该公司以前研究过的恶意软件共享技术:BackSwap(一名银行木马)和Ursnif(一名银行/窃取木马)类似。
该公司表示:有效检测这种类型的高度针对性的恶意软件可能会产生错误的结果,这就需要熟练的分析师。这对于大多数企业级来说是不可接受的解决方案,因此很难检测到这些病毒。
20191213052619157.jpg
对此,该公司给予了以下建议:
?使用我们提到的哈希(SHA256)并将其列入黑名单。(*注:新的哈希值一直在出现,因为它们很容易更改。)
?使用ping -n命令搜索执行延迟执行的程序。
?搜索来自单个主机的网络配置命令的过度使用,例如“ netstat.exe”,“ net.exe使用”,“ ipconfig.exe”和“ netsh.exe”
?搜索添加通常称为“ WBService”的新服务的过程
?搜索正在对Microsoft进程执行代码注入/代码挖空的未签名文件
?查找描述与图标不匹配的文件。例如,描述为“安全银行启动器”的文件的“ VNC查看器”图标
| 
楼主