据研究人员称,PRISM(棱镜)后门已经出现在他们的雷达上超过三年半的时间。
AT&T实验室的安全研究人员发布了一份报告,分享了新发现的Linux ELF可执行文件集群的详细信息,该集群在VirusTotal的防病毒检测几乎为0。
研究人员指出,这些可执行文件具有开源后门PRISM的修改版本,威胁行为者在不同的活动中广泛使用它。
据报道,该恶意软件已经出现超过三年半年。最早的样本可以追溯到2017年11月8日。 研究人员担心,通常很容易检测恶意URL和文件的VirusTotal没有检测到可执行文件。
什么是棱镜?
根据AT&T实验室研究人员的说法,PRISM是一个简单、直接、开源的后门,具有清晰可识别的流量。此外,它的二进制文件更容易检测。然而,他们发现很难检测到它的二进制文件,而且它的C&C服务器已经在线运行了三年半以上。
这表明较小的恶意活动很容易逃过病毒检测器,而相对大型的活动容易被检测。因此仅靠病毒防护软件并无法确保完全过滤恶意软件,为了做好网络安全防护的补充工作,还需不断查找代码缺陷并进行修复,以提高软件自身安全性来抵抗网络攻击。
关于PRISM恶意软件变体
研究人员将PRISM的一种变体称为WaterDrop,它使用相当容易检测的用户代理字符串 agent-waterdropx用于基于HTTP的C&C通信,并访问waterdropx[.]com 域的子域。
据研究人员称,他们发现的一些样本被标记为PRISMv1。研究人员将其归因于相同的运营商,因为该版本使用相同的C&C服务器进行通信。不同的是这个版本引入了一个子进程,它会反复查询C&C服务器以获取要执行的命令。
“该变体背后的威胁行为者设法在VirusTotal中为其样本和域保持了几乎为零的检测分数。这很可能是因为他们的活动规模相当小。
研究人员在博客中称,waterdropx[.]com域于2017年8月18日注册,截至2021年8月10日仍然在线。同时PRISMv2.2和v3也被发现了。据报道,PRISMv2.2引入了XOR加密,例如BASH命令字符串,以隐藏敏感数据,而PRISMv3的工作方式类似,但有一个例外:其客户端包含一个用于识别的机器人ID。
然而,研究人员表示,在大多数攻击中,原始PRISM后门未经任何修改就被使用。报告中写道:“这一事实,再加上后门的开源性质,使其无法正确跟踪威胁行为者的活动。”
安全威胁者不断更新升级恶意软件的攻击技术,从而可以轻松逃过杀毒软件及防毒设备的监测,这也意味着仅靠传统安全防护措施已不能完全与当今网络攻击相抗衡。组织机构更应加强软件自身安全,“软件安全检测及修复”是现有网络安全防护手段的重要补充。
尤其随着近几年巨头公司数据泄露问题突出,企业的安全性取决于安全链中最薄弱的环节。很多时候,保护数据库的‘墙’都有漏洞,攻击者可以利用这些漏洞来获取敏感数据。数据显示,超过六成的安全漏洞与代码有关,而静态代码检测可以有效减少30-70%的安全漏洞提高软件安全性。通过提升软件自身安全为网络安全做好重要补充。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
