E安全7月30日讯 据外媒报道,曾于2016年4月被用于渗透及入侵全国委员会(简称DNC)的一款恶意软件可能是基于某家中国企业于2000年初开发的一款开源网络工具。
曾最早对DNC黑客事件进行调查的安全厂商CorwdStrike公司指出,恶意组织已经于2016年4月成功侵入了DNC服务器。事实上,早在2015年夏季该服务器就已经被名为Cozy Bear APT入侵过了。
CrowdStrike公司指出,Fancy Bear黑客们使用了X-Agent等恶意软件以渗透并从系统内收集数据,而后利用X-Tunnel在不触发保护系统的前提下将信息悄悄发送出去。
此次事故已经引发了国际丑闻,因为一位名为Guccifer的黑客披露称该举动为俄罗斯所为,而美国总统候选人唐纳德·特朗普也对此做出了声明。
考虑到这一点,CrowdStrike公司向全世界公布了在DNC服务器中发现的恶意软件,旨在帮助其它企业及早发现类似事件。
如今Invincea公司也发布了相关报告,但其中没有涉及任何“源自俄罗斯”的内容。相反,这份报告(请在E安全微信公众号内回复“201607301”获取)专注于X-Tunnel,即用于从DNC服务器内窃取数据的恶意软件。
Invincea公司恶意软件专家Pat Belcher表示,这是一种似乎经过定制且用途限定非常严格的罕见恶意软件变种,其负责进行针对性攻击且不与任何其它恶意软件家族共享特性。
这款恶意软件拥有多种功能,这使得其能够被作为RAT,即远程访问木马使用。但就目前的情况看,其作用仍然是帮助攻击者窃取受破坏系统中的数据v2rayng订阅节点xtunnel。
X-Tunnel中的RAT功能源自一个2 MB文件,其中包含开启SSH连接、利用SSL进行流量加密、访问LDAP服务器、读取/写入Windows控制台、压缩/解压数据、窃取密码、下载/上传文件、捕捉鼠标移动、使用代理以及修复Windows服务等能力。
尽管如此,Invincea分析报告当中发现的大部分功能特性显示,这款工具专门针对数据泄露目的进行设计。
Invincea公司Belcher宣称v2rayng订阅节点xtunnel,这款名为X-Tunnel的工具的出现绝非巧合。该恶意软件似乎是对XTunnel PortMap开源项目修改而成,而此项目则源自中国厂商Xtenv2rayng订阅节点xtunnel,。
这款应用由XTunnel开发而来,该协议用于实现早期软件电话与VoIP通信,且用于立足防火墙网络开启接入外部网络IP的连接——同时无需向系统管理员申请开启特定端口。
此XTunnel协议会探测防火墙自身,寻找其中的开放端口,同时使用其最先发现的端口以开启连接。
该协议的开发工作随着Xten公司被另一家企业收购而中止,后者对该项目进行了闭源,这意味着其已经不再作为开源社区中的组成部分。
Invincea公司Belcher解释称:“按照今天的标准,Fancy Bear的攻击者使用的是一项相当陈旧的技术,但其仍然是一套非常可靠的网络模块,可作为一种完整的加密端到端远程访问木马(简称RAT)v2rayng免费订阅地址mile。”
“根据此前Crowdstrike公司发布的报告,该XTunnel工具曾被用于维持网络连接。目前尚不清楚该XTunnel工具是否曾被用于其它用途,但其确实有能力支持一系列其它活动,”Belcher补充称,这也再次确认了X-Tunnel的潜在RAT功能。
