Fire Chili Rootkit
邪惡的中國 APT(高級持續性威脅)組織 Deep Panda 在其武器庫中使用了一種新的威脅性補充物。該惡意軟件名為 Fire Chili,屬於 rootkit 類別,旨在感染 Windows 系統。根據網絡安全分析師發布的報告,該 rootkit 通過 Log4Shell 漏洞傳遞到 VMware Horizon 服務器,並能夠影響 Windows 版本,直至 2017 年 4 月發布的 Windows 10 Creators Update。
Rootkit 是極具威脅性的惡意軟件類型,因為它們可以深入受感染的系統並在最低級別執行侵入性操作,從而繞過眾多安全檢查和反惡意軟件措施。為避免在初始感染期間被防病毒工具檢測到,Fire Chili 配備了屬於 Frotburn Studios(一家遊戲開發公司)或 Comodo(一家安全軟件開發商)的有效數字證書。研究人員認為,這些證書是從其預期所有者那裡盜用的。
啟動後,Fire Chili 會執行一系列基本系統測試,以嘗試檢測虛擬化或沙盒環境的跡象。該威脅還確保目標內核結構和對象存在於系統中。該惡意軟件的主要目標是隱藏黑客的其他入侵行為。 Fire Chili 可以屏蔽文件操作、進程、對註冊表系統的添加以及非法網絡連接,使其不被用戶或安全軟件工具注意到。它通過使用 IOCTL(輸入/輸出控制系統調用)進行存檔,該 IOCTL 攜帶可以由威脅參與者動態配置的損壞工件。
