“卡尔科夫”是新的 DNS 间谍工具 具有针对性地选择能力

“卡尔科夫”是新的 DNS 间谍工具 具有针对性地选择能力

       目前已经发现，在臭名昭著的“DNS 间谍”（DNSpionage）恶意软件活动背后的网络犯罪组织正在实施一个新的复杂行动, 即是通过“DNS 间谍”恶意软件的新变种进行有针对性的入侵。 

      “DNS 间谍”是在去年 11 月被发现，它是一种自定义的远程操控工具, 利用有漏洞的网站及植入的恶意软件，通过 HTTP 和 DNS 通信把被入侵目标

连接到所控制的指挥和控制（C&C）服务器。 

      根据思科（Cisco）安全部门塔洛斯（Talos）发布的一份新报告，该 网络犯罪组织采用了一些新的战术、技术和和过程（TTP）来提高其行动效率，使其网络攻击更具针对性、组织性和隐蔽性。 与之前的入侵活动不同，入侵者现在是先对其目标进行侦测，然后有 针对性地选择目标，再植入一种新的恶意软件（被称为“卡尔科夫”，Karkoff），以使得之后的行为难以被检测发现。 

      研究人员指出：“我们发现‘DNS 间谍’（DNSpionage）与‘卡尔科夫’（Karkoff）的基础架构是重叠的。” 

      在侦测（Reconnaissance）阶段，入侵者收集目标的工作环境、操作 系统、域名和正在运行进程列表的相关系统信息，以及搜索两个特定的防病毒 平台：Avira 和 Avast。如果侦测到被入侵目标安装了这些安全产品，恶意软件将被重新配置并设置标识。 

     “卡尔科夫”（Karkoff） 是在 .NET 中开发的（备注：.NET 是 Microsoft XML Web services 平台，允许应用程序通过 Internet 进行通讯和共享数据，而不管所采用的是哪种操作系统、设备或编程语言。）, 它允许入侵者从其指挥和控制（C&C）服务器远程执行被入侵主机上的任意代码。思科的安全部门塔洛斯（Talos ）已确认“卡尔科夫”（Karkoff） 是无证恶意软件。 

      值得注意的是，“卡尔科夫”（Karkoff）恶意软件在被入侵的系统中生成一个日志文件，其中包含已执行的所有命令及其时间戳的列表。这也为发现和 应对“卡尔科夫”（Karkoff）恶意软件提供了线索，更为最重要的是要保持常态警惕，并随时了解社交工程技术，以降低成为此类入侵目标的风险。 

     鉴于多起有关 DNS 劫持的公开报告，美国国土安全部（DHS）已向 所有联邦机构发出“紧急指令”（"Emergency Directive"），要求各机构部门 审核各自的网站和域名以及被托管代管的域名系统（DNS）。

来源：综合报导的参考译文