國(guó)家網(wǎng)絡(luò)安全和通信集成中心了解到針對(duì)各個(gè)垂直行業(yè)的多種惡意軟件植入，包括RedLeaves和PlugX。這些惡意軟件是如何工作的?我們?cè)撊绾螒?yīng)對(duì)?

Judith Myerson：攻擊者利用系統(tǒng)管理員的身份啟動(dòng)多種惡意軟件，包括RedLeaves和PlugX。它們使用開(kāi)放源代碼PowerSploit，這是一個(gè)PowerShell工具，以供滲透測(cè)試人員攻擊系統(tǒng)使用。

RedLeaves和PlugX/Sogu基于現(xiàn)有的惡意軟件代碼，但已被修改，以避開(kāi)現(xiàn)有的防病毒簽名進(jìn)行檢測(cè)。植入目標(biāo)系統(tǒng)后，它們通過(guò)使用三個(gè)文件的動(dòng)態(tài)鏈接庫(kù)(DLL)側(cè)面加載技術(shù)在系統(tǒng)上執(zhí)行：

• 一個(gè)非惡意可執(zhí)行文件開(kāi)始安裝;
• 惡意的DLL加載程序;
• 將程序解碼到內(nèi)存中的編碼有效載荷文件。

RedLeaves惡意軟件通過(guò)TCP端口443與HTTPS連接到命令控制(C&C)服務(wù)器，并在調(diào)用API函數(shù)時(shí)跳過(guò)安全標(biāo)記。數(shù)據(jù)沒(méi)有加密，也沒(méi)有SSL握手，常見(jiàn)于TCP端口443流量。它收集系統(tǒng)名稱(chēng)、操作系統(tǒng)版本、系統(tǒng)正常運(yùn)行時(shí)間、處理器規(guī)格和其他數(shù)據(jù)。

PlugX是一種復(fù)雜的遠(yuǎn)程訪問(wèn)工具(RAT)，用于通過(guò)TCP端口443、80,8080和53與PlugX C&C服務(wù)器通信。PlugX操作員可以在運(yùn)行時(shí)使用Netstat、Keylog、Portmap、SQL和Telnet添加、刪除或更新PlugX插件。

為幫助企業(yè)檢測(cè)惡意軟件植入，國(guó)家網(wǎng)絡(luò)安全和通信集成中心指出可向安全公司尋求幫助。美國(guó)CERT呼吁警惕這些惡意軟件植入，并給出下列建議做法：

1.實(shí)施漏洞評(píng)估與補(bǔ)救計(jì)劃。

2.在傳輸和靜態(tài)時(shí)加密所有敏感數(shù)據(jù)。

3.啟動(dòng)內(nèi)部威脅計(jì)劃。

4.查看記錄和警報(bào)數(shù)據(jù)。

5.對(duì)數(shù)據(jù)進(jìn)行獨(dú)立的安全(不合規(guī))審核。

6.創(chuàng)建一個(gè)信息共享程序。

7.保護(hù)網(wǎng)絡(luò)和系統(tǒng)文件，以及時(shí)進(jìn)行事件響應(yīng)，包括網(wǎng)絡(luò)圖、資產(chǎn)所有者、資產(chǎn)類(lèi)型和最新事件計(jì)劃。