Gozi的科技迭代史
发布时间:2022-08-04 10:28:57 所属栏目:安全 来源:互联网
导读:大多数时候,网络攻击活动与恶意软件攻击之间的关系很简单,一些恶意软件虽已消失但未被遗忘,例如GandCrab就经常被攻击者使用,再比如开源Quasar RAT, Quasar是一种公开可用的开源远程访问木马(RAT),主要针对Windows操作系统。Quasar通过恶意附件在网络
|
大多数时候,网络攻击活动与恶意软件攻击之间的关系很简单,一些恶意软件虽已消失但未被遗忘,例如GandCrab就经常被攻击者使用,再比如开源Quasar RAT, Quasar是一种公开可用的开源远程访问木马(RAT),主要针对Windows操作系统。Quasar通过恶意附件在网络钓鱼电子邮件中传播。据悉,这个RAT是用C#编程语言编写的。Quasar最初是由GitHub用户 MaxXor 开发,用于合法用途。然而,该工具此后被黑客用于各种网络间谍活动。Quasar于2014年7月首次发布,名为“xRAT 2.0”,后来于2015年8月更名为“Quasar”。类似的这些恶意软件会落入灰色区域,没有人可以控制恶意代码库或二进制文件,但作为恶意工具,也没被普遍传播。 自2007年首次被发现以来,Gozi就是一直是攻击者迭代所用的代码库。在2010年之前, Gozi的源代码还未被泄漏,不过在2010年源代码被泄漏后,其他攻击者就接管并运行了源代码,这样Gozi就出现了两个新版本:Gozi Prinimalka(后来与Pony合并为Neverquest)和Gozi“ISFB”。仅这些早期的变体就已经具备了反检测的能力。一家安全公司更是将ISFB称为“Gozi2”,另一些人称之为“Ursnif”或“Snifula”,以21世纪初的一款间谍软件命名,最初的Gozi CRM借用了该软件的代码。其他一些供应商开始把这个恶意软件称为“Rovnix”,这个名字来源于一个通常用来混淆二进制文件的封装器。 “ISFB”是Gozi派生词的专有名称,因为内部二进制字符串包含对“ISFB项目”的引用。最初将恶意软件称为“Ursnif”的行为与漫恶意软件传统的命名规则有关,这种传统至少可以追溯到1991年的米开朗基罗病毒。这种命名规则并没有什么错,但是对于刚出现的Gozi的许多绰号和误解则引发了混乱。幸运的是,“Rovnix”和“Snifula”的命名法落伍了,但“Ursnif”的命名规则却被延续了下来。 几年后,ISFB的源代码被泄漏了,大多数证据将第二次泄漏定为2015年,但一些消息人士则表示早在2013年就发生了。其中一个变体与Nymaim合并,成为两个恶意软件家族的杂交后代GozNym的核心代码。另一个变体是Dreambot,它严重依赖于2010年CRM泄露的原始代码,调整了ISFB的签入格式,并增加了对通过TOR网络的C&C通信的支持。 当第二波Gozi出现很长一段时间后,一些攻击者又开发了新的版本,即Goziv3(RM3加载器),ISFB3和Gozi2RM3(IAP 2.0)。这些都对恶意软件的混淆机制,控制流和C&C通信方案进行了自己的调整。尤其是,签名的二进制文件,HTTPS通信和2阶段的客户端注册过程。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号