您的瀏覽器不支援JavaScript功能,若部份網頁功能無法正常使用時,請開啟瀏覽器JavaScript狀態
友善列印 :
請利用鍵盤按住Ctrl + P開啟列印功能
字級設定 :
IE6請利用鍵盤按住ALT鍵 + V → X → (G)最大(L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小,
而IE7或Firefox瀏覽器則可利用鍵盤 Ctrl + (+)放大 (-)縮小來改變字型大小。
跳到主要內容區塊

文件報告

:::
我國能源領域關鍵基礎設施之惡意程式分析

日期:110-06-01
資料來源:資通安全處

    國內能源領域關鍵基礎設施於近期查獲6個惡意動態連結函式庫檔案(Dynamic-link library, DLLs),此系列DLL檔案為Gh0st RAT木馬程式之變種,被命名為「SALTYGHOST」,6個惡意DLL之功能函式包含相同C2資訊。經分析發現這些DLL夾帶有攻擊目標之內網代理伺服器資訊,由此可知其係針對攻擊目標所客製之惡意DLL。

    惡意DLL檔案使用AES加密演算法(Advanced Encryption Standard)加密隱藏2個Payload,第1個Payload是目前未知且用於連線C2伺服器與接收任務之報到功能,經多個YARA Rule偵測到第2個Payload為客製化之Gh0st RAT木馬程式。

    2個Payload使得攻擊者得以通道(Tunnel)/跳板(Pivot)方式進入攻擊目標之內網,並提供攻擊者完整的遠端存取木馬程式功能,包含鍵盤側錄等。

    透過公開來源情報(Open-source intelligence, OSINT)尋找業界是否已有此系列惡意程式之相關報告,然而尚未發現任何相關情資。

:::
通訊地址:100009臺北市中正區忠孝東路1段1號 地圖 | 總機電話:(02)3356-6500  通過A無障礙網頁檢測 更新日期:107-09-20
回到置頂 回到置頂_圖片