RedLeaves和PlugX惡意軟件是如何工作的？

國家網絡安全和通信集成中心了解到針對各個垂直行業的多種惡意軟件植入，包括RedLeaves和PlugX。這些惡意軟件是如何工作的?我們該如何應對?

Judith Myerson：攻擊者利用係統管理員的身份啟動多種惡意軟件，包括RedLeaves和PlugX。它們使用開放源代碼PowerSploit，這是一個PowerShell工具，以供滲透測試人員攻擊係統使用。

RedLeaves和PlugX/Sogu基於現有的惡意軟件代碼，但已被修改，以避開現有的防病毒簽名進行檢測。植入目標係統後，它們通過使用三個文件的動態鏈接庫(DLL)側麵加載技術在係統上執行：

RedLeaves惡意軟件通過TCP端口443與HTTPS連接到命令控製(C&C)服務器，並在調用API函數時跳過安全標記。數據沒有加密，也沒有SSL握手，常見於TCP端口443流量。它收集係統名稱、操作係統版本、係統正常運行時間、處理器規格和其他數據。

PlugX是一種複雜的遠程訪問工具(RAT)，用於通過TCP端口443、80,8080和53與PlugX C&C服務器通信。PlugX操作員可以在運行時使用Netstat、Keylog、Portmap、SQL和Telnet添加、刪除或更新PlugX插件。

為幫助企業檢測惡意軟件植入，國家網絡安全和通信集成中心指出可向安全公司尋求幫助。美國CERT唿籲警惕這些惡意軟件植入，並給出下列建議做法：

1.實施漏洞評估與補救計劃。

2.在傳輸和靜態時加密所有敏感數據。

3.啟動內部威脅計劃。

4.查看記錄和警報數據。

5.對數據進行獨立的安全(不合規)審核。

6.創建一個信息共享程序。

7.保護網絡和係統文件，以及時進行事件響應，包括網絡圖、資產所有者、資產類型和最新事件計劃。

本文作者：張程程

來源：51CTO

最後更新：2017-11-03 16:04:53