Fire Chili Rootkit
邪恶的中国 APT(高级持续性威胁)组织 Deep Panda 在其武器库中使用了一种新的威胁性补充物。该恶意软件名为 Fire Chili,属于 rootkit 类别,旨在感染 Windows 系统。根据网络安全分析师发布的报告,该 rootkit 通过 Log4Shell 漏洞传递到 VMware Horizon 服务器,并能够影响 Windows 版本,直至 2017 年 4 月发布的 Windows 10 Creators Update。
Rootkit 是极具威胁性的恶意软件类型,因为它们可以深入受感染的系统并在最低级别执行侵入性操作,从而绕过众多安全检查和反恶意软件措施。为避免在初始感染期间被防病毒工具检测到,Fire Chili 配备了属于 Frotburn Studios(一家游戏开发公司)或 Comodo(一家安全软件开发商)的有效数字证书。研究人员认为,这些证书是从其预期所有者那里盗用的。
启动后,Fire Chili 会执行一系列基本系统测试,以尝试检测虚拟化或沙盒环境的迹象。该威胁还确保目标内核结构和对象存在于系统中。该恶意软件的主要目标是隐藏黑客的其他入侵行为。 Fire Chili 可以屏蔽文件操作、进程、对注册表系统的添加以及非法网络连接,使其不被用户或安全软件工具注意到。它通过使用 IOCTL(输入/输出控制系统调用)进行存档,该 IOCTL 携带可以由威胁参与者动态配置的损坏工件。
