详细内容或原文请订阅后点击阅览
Fast16:Stuxnet 之前的恶意软件,针对精密工程软件
Fast16 是 Stuxnet 之前的恶意软件,它会篡改精确软件并进行自我传播。有证据表明,这与早期网络紧张时期的美国行动有关。 SentinelOne 发现了 Fast16,这是一种在 2005 年使用的破坏性恶意软件,比 Stuxnet 早几年。恶意代码采用Lua编写,针对高精度计算软件,改变结果并跨系统传播。恶意软件 [...]
来源:Security Affairs _恶意软件Fast16:Stuxnet 之前的恶意软件,针对精密工程软件
Fast16 是 Stuxnet 之前的恶意软件,它会篡改精确软件并进行自我传播。有证据表明,这与早期网络紧张时期的美国行动有关。
SentinelOne 发现了 Fast16,这是一种在 2005 年使用的破坏性恶意软件,比 Stuxnet 早几年。恶意代码采用Lua编写,针对高精度计算软件,改变结果并跨系统传播。该恶意软件出现在 ShadowBrokers 泄漏的 NSA 工具中,有证据表明它可能是由美国开发的,凸显了与伊朗紧张关系有关的早期网络行动。
研究人员通过搜索嵌入式 Lua 引擎的首次使用来追踪早期的高级恶意软件设计,这一功能后来出现在 Flame 和 Project Sauron 等工具中。 Lua 无需重新编译即可实现模块化、灵活的恶意软件。分析得出了 2005 年的样本 svcmgmt.exe,其中包含嵌入式 Lua VM 和加密字节码。虽然它看起来像一个简单的服务二进制文件,但更深入的分析揭示了一个包含加密、Windows API 访问和模块化设计的复杂植入。调试路径将其链接到 fast16.sys 驱动程序,将其与早期的 Fast16 框架联系起来。
载体 svcmgmt.exe 充当模块化加载程序,使用加密的 Lua 有效负载和“蠕虫”通过网络共享在 Windows 系统中传播,同时通过检查安全工具来避免检测。它还可以部署内核驱动程序以进行更深入的控制。
fast16.sys 驱动程序在启动时加载并拦截文件系统操作,修改内存中的可执行文件。它针对特定程序,特别是使用英特尔工具编译的精密计算软件,并应用基于规则的补丁,使用浮点操作巧妙地改变结果。
这表明这是一个破坏目标,而不是简单的间谍活动,旨在破坏科学或工程成果,同时在受感染的系统中保持隐秘性和持久性。
皮尔路易吉·帕格尼尼