CONFUCIUSは、パロアルトネットワークスの研究者によって検出された新しいマルウェアです。. サイバー犯罪者側にかなりの創造性を発揮するバックドアです. 研究者はマルウェアの2つのサンプルを分析しました, 2つの別々のサイバースパイキャンペーンから取得.
の 2013, Rapid7は、パキスタンの標的に対する一連の比較的アマチュアの攻撃について報告しました. レポートが公開されてから長い間, 攻撃者の操作方法はほとんど変わりませんでした. グループから今日見られる攻撃の多くは同じままですが, 新しいバックドアの監視を開始しました, CONFUCIUS_A, 早い段階から攻撃者によってドロップされます 2014.
初心者またはアマチュアによって作成されたマルウェアは、ソースコードにハードコードされたIPアドレスを使用します. 高度な脅威は動的ドメイン名生成アルゴリズムを採用しています (DGA) コマンドアンドコントロールサーバーの実際のIPアドレスを隠す. 2つのCONFUCIUSサンプルは、まったく異なる動作を示しました。マルウェアは、正当なWebサイトにHTTPリクエストを使用していました。, YahooとQuora. 両方のサイトがQを提供します&セクション.
CONFUCIUS_AとCONFUCIUS_Bの違いは何ですか?
Aバリアントは、2つのマーカーを検索するために特定のQuoraまたはYahooページにアクセスしていました. それらの間の, あった 4 以上の単語. 研究者はまた、ソースコードにルックアップテーブルを見つけました, からなる 255 言葉. 数は間の数をカバーするのに十分です 1 と 255, IPv4アドレスブロックに使用される番号.
ルックアップテーブルは、有用なコンテンツの開始と終了のマーカーで始まります, その後、 255 言葉, それぞれが数字に対応します (たとえば、慎重な== 255). メモリ内のこのルックアップテーブルを使用して、マーカー間のテキストからコマンドおよび制御アドレスを導出できます。, 「フィルプレート賢い道」は 91.210.107[.]104.
CONFUCIUS_Bは、同様のメソッドを展開することが観察されました, 単語がからの数字を表すという違いがあります 0 に 9. マルウェアはIPv4の4つの主要なブロックを再構築しませんでしたが、代わりに各IPアドレスの数字を特定していました.
両方のサンプルがサイバースパイキャンペーンに配備されています. CONFICUISの運用を観察および分析したすべての企業, パロアルトネットワークスなど, オペレーターはおそらくインドにいると信じています.
技術的な詳細については、 パロアルトのレポート.