针对Windows设备的新恶意软件活动采用了一种新颖的黑客技术以控制由此产生的僵尸网络,其背后的黑客组织使用P2P网络来隐藏其通信。

IPStorm恶意攻击活动
这一网络犯罪分子发起的恶意活动是在今年5月被发现的,被称为IPStorm——InterPlanetary Storm的缩写。其背后的黑客组织很可能从Storm这个名字中获取的灵感——这是一个P2P蠕虫活动,在2007年首次出现之后开始泛滥  。目前还不知道是哪个黑客组织发起了IPStorm活动,其归属地点也不得而知,但该恶意软件明显具有“反向shell”功能,可以让黑客在受感染设备上执行任意PowerShell代码。

根据网络安全公司研究人员的说法,该恶意软件的独特之处在于它是第一个在野发现的使用IPFS的p2p网络进行命令和控制通信的恶意软件。通过使用合法的p2p网络,此恶意软件可以隐藏其网络流量。

其中IPFS是一个开源的P2P文件共享网络,旨在作为共享和存储文件的手段,供用户在分散的系统中下载和托管内容。例如在某个国家本来是阻止访问维基百科的,但通过IPFS服务就可以托管维基百科的一个版本供其访问。

“通过将各个功能拆解为不同的Go包,代码库更易于维护。此外,威胁行为者可以将其分解为多个模块,以便更换或重用功能,”

防病毒检测技术
IPStorm还添加了几种防病毒检测技术,例如睡眠、内存分配和随机数生成,其中内存分配函数非常简单,核心功能部分如下图所示:

通过P2P网络进行传播的恶意软件IPStorm

运用这些技术,在IPStorm进入Windows系统并将其自身安装在预定列表的文件夹中帮助其不被发现,其中大多数假文件夹都与Microsoft或Adobe系统相关。这种做法的妙处在于即使用户发现了该文件夹也不会怀疑什么。

恶意活动目的不明
目前,此恶意活动的最终目标仍然未知——但可预见的是,其能够用于各种恶意活动。
僵尸网络通常用于DDoS攻击、服务备份木马,或构建代理网络。僵尸程序允许威胁行为者执行他们选择的任何PowerShell代码。此外僵尸网络还能不断更新,随时添加新的恶意功能 。

该恶意软件安装在以下位置:
PHYSICALDRIVE0\AppData\Local\Packages\%s_%s\AppData
在分析该恶意软件时,研究人员指出,虽然IPStorm目前仅针对Windows系统,但样本中的元数据表明攻击者可能正在编译它以感染其他操作系统,如macOS系统。

截至2019年6月,该僵尸网络由不到3000台设备组成。虽然IPStorm的规模相对较小,但很可能是由于其还处于早期阶段。