據(jù)研究人員稱，PRISM(棱鏡)后門已經(jīng)出現(xiàn)在他們的雷達(dá)上超過三年半的時(shí)間。

AT&T實(shí)驗(yàn)室的安全研究人員發(fā)布了一份報(bào)告，分享了新發(fā)現(xiàn)的Linux%20ELF可執(zhí)行文件集群的詳細(xì)信息，該集群在VirusTotal的防病毒檢測幾乎為0。

研究人員指出，這些可執(zhí)行文件具有開源后門PRISM的修改版本，威脅行為者在不同的活動(dòng)中廣泛使用它。

據(jù)報(bào)道，該惡意軟件已經(jīng)出現(xiàn)超過三年半年。最早的樣本可以追溯到2017年11月8日。%20研究人員擔(dān)心，通常很容易檢測惡意URL和文件的VirusTotal沒有檢測到可執(zhí)行文件。

什么是棱鏡?

根據(jù)AT&T實(shí)驗(yàn)室研究人員的說法，PRISM是一個(gè)簡單、直接、開源的后門，具有清晰可識(shí)別的流量。此外，它的二進(jìn)制文件更容易檢測。然而，他們發(fā)現(xiàn)很難檢測到它的二進(jìn)制文件，而且它的C&C服務(wù)器已經(jīng)在線運(yùn)行了三年半以上。

這表明較小的惡意活動(dòng)很容易逃過病毒檢測器，而相對大型的活動(dòng)容易被檢測。因此僅靠病毒防護(hù)軟件并無法確保完全過濾惡意軟件，為了做好網(wǎng)絡(luò)安全防護(hù)的補(bǔ)充工作，還需不斷查找代碼缺陷并進(jìn)行修復(fù)，以提高軟件自身安全性來抵抗網(wǎng)絡(luò)攻擊。

關(guān)于PRISM惡意軟件變體

研究人員將PRISM的一種變體稱為WaterDrop，它使用相當(dāng)容易檢測的用戶代理字符串 agent-waterdropx用于基于HTTP的C&C通信，并訪問waterdropx[.]com 域的子域。

據(jù)研究人員稱，他們發(fā)現(xiàn)的一些樣本被標(biāo)記為PRISMv1。研究人員將其歸因于相同的運(yùn)營商，因?yàn)樵摪姹臼褂孟嗤腃&C服務(wù)器進(jìn)行通信。不同的是這個(gè)版本引入了一個(gè)子進(jìn)程，它會(huì)反復(fù)查詢C&C服務(wù)器以獲取要執(zhí)行的命令。

“該變體背后的威脅行為者設(shè)法在VirusTotal中為其樣本和域保持了幾乎為零的檢測分?jǐn)?shù)。這很可能是因?yàn)樗麄兊幕顒?dòng)規(guī)模相當(dāng)小。

研究人員在博客中稱，waterdropx[.]com域于2017年8月18日注冊，截至2021年8月10日仍然在線。同時(shí)PRISMv2.2和v3也被發(fā)現(xiàn)了。據(jù)報(bào)道，PRISMv2.2引入了XOR加密，例如BASH命令字符串，以隱藏敏感數(shù)據(jù)，而PRISMv3的工作方式類似，但有一個(gè)例外：其客戶端包含一個(gè)用于識(shí)別的機(jī)器人ID。

然而，研究人員表示，在大多數(shù)攻擊中，原始PRISM后門未經(jīng)任何修改就被使用。報(bào)告中寫道：“這一事實(shí)，再加上后門的開源性質(zhì)，使其無法正確跟蹤威脅行為者的活動(dòng)。”

安全威脅者不斷更新升級(jí)惡意軟件的攻擊技術(shù)，從而可以輕松逃過殺毒軟件及防毒設(shè)備的監(jiān)測，這也意味著僅靠傳統(tǒng)安全防護(hù)措施已不能完全與當(dāng)今網(wǎng)絡(luò)攻擊相抗衡。組織機(jī)構(gòu)更應(yīng)加強(qiáng)軟件自身安全，“軟件安全檢測及修復(fù)”是現(xiàn)有網(wǎng)絡(luò)安全防護(hù)手段的重要補(bǔ)充。

尤其隨著近幾年巨頭公司數(shù)據(jù)泄露問題突出，企業(yè)的安全性取決于安全鏈中最薄弱的環(huán)節(jié)。很多時(shí)候，保護(hù)數(shù)據(jù)庫的‘墻’都有漏洞，攻擊者可以利用這些漏洞來獲取敏感數(shù)據(jù)。數(shù)據(jù)顯示，超過六成的安全漏洞與代碼有關(guān)，而靜態(tài)代碼檢測可以有效減少30-70%的安全漏洞提高軟件安全性。通過提升軟件自身安全為網(wǎng)絡(luò)安全做好重要補(bǔ)充。Wukong(悟空)靜態(tài)代碼檢測工具，從源碼開始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

www.woocoom.com/b021.html?i…

www.hackread.com/prism-backd…