安全研究人员报告针对特定用户的间谍软件黑暗幽灵
互联网 / houtizong 发布于 3年前 90
腾讯安全研究人员报告了一个针对特定目标的间谍软件。该恶意程序被称为黑暗幽灵,调试信息里发现了一个叫DCM的代号,不知其代表什么,目前尚未搜索到的国外相关研究报告。研究人员称,木马是通过劫持软件通过HTTP传输的自动更新去悄悄安装到受害者的电脑上,目的是搜集情报。木马作者很可能有政府背景。中国许多软件的自动更新没有使用HTTPS加密而是直接使用HTTP传输,为嗅探网络的攻击者创造了劫持的便利条件。在劫持了更新程序后,木马会检查电脑是否安装了安全软件,对不同安全软件执行不同的安装方式,以绕过检测和拦截。其中最有意思的功能是它能调用安全软件自身的接口将其加入白名单。安装之后,木马会尝试利用本地提权漏洞获得管理员权限,它的功能包括监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。它监控的软件包括Skype、QQ、阿里旺旺、YY语音、MSN、腾讯通(腾讯的企业通讯软件)、RaidCall。当监视到浏览器窗口中含有Gmail字符时,木马会加载相关插件,尝试通过邮件协议IMAP下载Gmail服务器上的所有文件。当收集到情报之后,木马会将数据封装成固定包头的DNS协议包,发送到www.baidu.com、www.sina.com、www.163.com域名所在服务器的53端口或者8000端口。也就是说,攻击者要想获取这些数据包,必须在数据包从本地计算机到这些网站服务器的必经之路上进行劫持嗅探。
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成
网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];
文章归档
文章标签
友情链接
