Các chuyên gia Công cụ ghi nhật ký chi tiết của Khung DanderSosystemz được sử dụng bởi các hacker nhóm Equation

Khung DanderSosystemz

Các nhà nghiên cứu an ninh mạng đã cung cấp một cái nhìn chi tiết về một hệ thống có tên là DoubleFeature chuyên dùng để ghi lại các giai đoạn hậu khai thác khác nhau bắt nguồn từ việc triển khai DanderSosystemz, một khung phần mềm độc hại đầy đủ tính năng được Equation Group sử dụng.

DanderSosystemz được đưa ra ánh sáng vào ngày 14 tháng 4 năm 2017, khi một nhóm hack được gọi là Shadow Brokers làm rò rỉ công cụ khai thác, trong số những người khác, theo một công văn có tiêu đề “Lost in Translation.” Cũng bao gồm trong các vụ rò rỉ là EternalBlue, một cuộc do Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) phát triển cho phép các kẻ đe dọa thực hiện cuộc tấn công NotPetya trên các máy tính Windows chưa được vá.

Công cụ này là một khuôn khổ mô-đun, tàng hình và đầy đủ chức năng dựa trên hàng chục plugin cho các hoạt động sau khai thác trên các máy chủ Windows và Linux. Các nhà nghiên cứu từ Check Point cho biết trong một báo cáo mới được công bố hôm thứ Hai, DoubleFeature là một trong số đó, có chức năng như một “công cụ chẩn đoán cho máy nạn nhân mang DanderSosystemz”.

Công ty an ninh mạng Israel cho biết thêm: “DoubleFeature có thể được sử dụng như một loại Đá Rosetta để hiểu rõ hơn về các mô-đun DanderSosystemz và các hệ thống bị xâm phạm bởi chúng”. “Đó là giấc mơ viễn tưởng của đội ứng phó sự cố.”

Xem tiếp:   Người đàn ông Nga bị tù 60 tháng vì cung cấp dịch vụ lưu trữ chống đạn cho tội phạm mạng

Được thiết kế để duy trì nhật ký về các loại công cụ có thể được triển khai trên máy mục tiêu, DoubleFeature là một bảng điều khiển dựa trên Python cũng đóng vai trò như một tiện ích báo cáo để chuyển thông tin ghi nhật ký từ máy bị nhiễm sang máy chủ do kẻ tấn công kiểm soát. Đầu ra được diễn giải bằng cách sử dụng tệp thực thi chuyên dụng có tên “DoubleFeatureReader.exe.”

Một số plugin được DoubleFeature bao gồm các công cụ truy cập từ xa có tên UnitedRake (hay còn gọi là EquationDrug) và PeddleCheap, một cửa hậu lọc dữ liệu lén lút có tên StraitBizarre, một nền tảng gián điệp có tên KillSuit (hay còn gọi là GrayFish), một bộ công cụ bền bỉ có tên DiveBar, một trình điều khiển truy cập mạng bí mật có tên FlewAvenue và bộ cấy xác thực có tên MistyVeal để xác minh xem hệ thống bị xâm nhập có thực sự là một máy nạn nhân đích thực chứ không phải môi trường nghiên cứu hay không.

Các nhà nghiên cứu cho biết: “Đôi khi, thế giới của các công cụ APT bậc cao và thế giới của phần mềm độc hại thông thường có thể giống như hai vũ trụ song song. “Các chủ thể quốc gia có xu hướng [maintain] clandestine, những cơ sở mã khổng lồ, thể hiện một loạt các tính năng đã được trau dồi qua nhiều thập kỷ do nhu cầu thực tế. Hóa ra chúng ta cũng đang dần nhai lại vụ rò rỉ 4 năm tuổi đã tiết lộ DanderSosystemz cho chúng ta, và có thêm những hiểu biết mới. “

Xem tiếp:   Bản phát hành sản phẩm không nên đáng sợ

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …