針對Windows設備的新惡意軟件活動采用了一種新穎的黑客技術以控制由此產生的僵尸網絡，其背后的黑客組織使用P2P網絡來隱藏其通信。

IPStorm惡意攻擊活動
這一網絡犯罪分子發(fā)起的惡意活動是在今年5月被發(fā)現的，被稱為IPStorm——InterPlanetary Storm的縮寫。其背后的黑客組織很可能從Storm這個名字中獲取的靈感——這是一個P2P蠕蟲活動，在2007年首次出現之后開始泛濫? 。目前還不知道是哪個黑客組織發(fā)起了IPStorm活動，其歸屬地點也不得而知，但該惡意軟件明顯具有“反向shell”功能，可以讓黑客在受感染設備上執(zhí)行任意PowerShell代碼。

根據網絡安全公司研究人員的說法，該惡意軟件的獨特之處在于它是第一個在野發(fā)現的使用IPFS的p2p網絡進行命令和控制通信的惡意軟件。通過使用合法的p2p網絡，此惡意軟件可以隱藏其網絡流量。

其中IPFS是一個開源的P2P文件共享網絡，旨在作為共享和存儲文件的手段，供用戶在分散的系統(tǒng)中下載和托管內容。例如在某個國家本來是阻止訪問維基百科的，但通過IPFS服務就可以托管維基百科的一個版本供其訪問。

“通過將各個功能拆解為不同的Go包，代碼庫更易于維護。此外，威脅行為者可以將其分解為多個模塊，以便更換或重用功能，”

防病毒檢測技術
IPStorm還添加了幾種防病毒檢測技術，例如睡眠、內存分配和隨機數生成，其中內存分配函數非常簡單，核心功能部分如下圖所示：

運用這些技術，在IPStorm進入Windows系統(tǒng)并將其自身安裝在預定列表的文件夾中幫助其不被發(fā)現，其中大多數假文件夾都與Microsoft或Adobe系統(tǒng)相關。這種做法的妙處在于即使用戶發(fā)現了該文件夾也不會懷疑什么。

惡意活動目的不明
目前，此惡意活動的最終目標仍然未知——但可預見的是，其能夠用于各種惡意活動。
僵尸網絡通常用于DDoS攻擊、服務備份木馬，或構建代理網絡。僵尸程序允許威脅行為者執(zhí)行他們選擇的任何PowerShell代碼。此外僵尸網絡還能不斷更新，隨時添加新的惡意功能 。

該惡意軟件安裝在以下位置：
PHYSICALDRIVE0\AppData\Local\Packages\%s_%s\AppData
在分析該惡意軟件時，研究人員指出，雖然IPStorm目前僅針對Windows系統(tǒng)，但樣本中的元數據表明攻擊者可能正在編譯它以感染其他操作系統(tǒng)，如macOS系統(tǒng)。

截至2019年6月，該僵尸網絡由不到3000臺設備組成。雖然IPStorm的規(guī)模相對較小，但很可能是由于其還處于早期階段。

ice

收藏 海報分享