日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

IBM X-Force 事件響應與情報服務(IRIS)團隊：臭名昭著的磁盤清除惡意軟件Shamoon，利用啟用宏的文檔和PowerShell腳本感染目標系統(tǒng)。

目前成都創(chuàng)新互聯(lián)公司已為近1000家的企業(yè)提供了網(wǎng)站建設、域名、虛擬空間、網(wǎng)站托管、企業(yè)網(wǎng)站設計、富縣網(wǎng)站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

最近，針對沙特阿拉伯和其他波斯灣國家的攻擊中，發(fā)現(xiàn)了Shamoon 2的身影。該惡意軟件還有另一個名稱——Disttrack，其變種很多，包括一款能夠攻擊虛擬桌面基礎架構(VDI)產品的。

賽門鐵克近期進行的一份分析顯示：Shamoon背后的攻擊者，也就是很多人認為的伊朗黑客，可能有昵稱為Greenbug的黑帽子相助。賽門鐵克在同一系統(tǒng)中發(fā)現(xiàn)這兩個惡意軟件的存在后，將Greenbug和Shamoon聯(lián)系了在一起。

X-Force IRIS 研究人員分析了最近一波的Shamoon攻擊，確認最初的泄露可能在該惡意軟件部署并激活前數(shù)周就已發(fā)生。

需要指出的是，很多案例中，Shamoon都被編程為在特定的日期和時間發(fā)動，尤其是在目標公司的員工不太可能注意到其活動的時候。

專家認為，攻擊者采用武器化Office文檔作為入口點。這些文檔包含有惡意宏，一旦執(zhí)行，就會啟動命令與控制(C&C)通信，并通過PowerShell建立遠程Shell。

這些惡意文件通常包含有簡歷和其他人力資源文檔，通過漁叉式網(wǎng)絡釣魚郵件發(fā)送給目標用戶。IBM發(fā)現(xiàn)的其中一些文檔提到了一家位于埃及的軟件人才服務公司——IT Worx，以及沙特阿拉伯的商務與投資部(MCI)。

文檔一被打開，就會執(zhí)行宏代碼，然后啟動PowerShell建立信道，使攻擊者能夠在被感染設備上遠程執(zhí)行指令。

攻擊者還能借此部署其他工具和惡意軟件，獲得對受害者網(wǎng)絡的進一步訪問權。一旦關鍵服務器被發(fā)現(xiàn)，攻擊者就可以部署Shamoon，清除硬盤數(shù)據(jù)，導致系統(tǒng)無法運作。

文檔中發(fā)現(xiàn)的宏會執(zhí)行兩個PowerShell腳本，其中一個來自托管了跨平臺遠程訪問工具(RAT)Pupy的某個域名。該RAT和域名，在對名為“魔法獵犬( Magic Hound )”的伊朗相關黑客活動的分析中也有出現(xiàn)。

IBM研究人員相信，最近的分析和沙特阿拉伯發(fā)布的警告，有可能會讓Shamoon攻擊者再次消失，就像他們在2012年沙特阿美行動后銷聲匿跡一樣，并且為下一波攻擊修改戰(zhàn)術。

文章標題：惡意軟件Shamoon將文檔變成攻擊武器
網(wǎng)站地址：http://www.dlmjj.cn/article/dpgihsc.html