APT框架TajMahal怎么用

APT框架TajMahal怎么用，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

概述

    'TajMahal'是卡巴斯基實(shí)驗(yàn)室在2018年秋季發(fā)現(xiàn)的一個(gè)以前未知且技術(shù)復(fù)雜的APT框架。這個(gè)完整的間諜框架由兩個(gè)名為“東京”和“橫濱”的包組成。它包括后門，加載器，協(xié)調(diào)器，C2通信器，錄音機(jī)，鍵盤記錄器，屏幕和網(wǎng)絡(luò)攝像頭抓取器，文檔和加密密鑰竊取程序，甚至是受害者機(jī)器的自己的文件索引器。我們發(fā)現(xiàn)其加密的虛擬文件系統(tǒng)中存儲(chǔ)了多達(dá)80個(gè)惡意模塊，這是我們見過的APT工具集中插件數(shù)量最多的插件之一。

    為了突出其功能，TajMahal能夠從受害者以及打印機(jī)隊(duì)列中刻錄的CD中竊取數(shù)據(jù)。它還可以請(qǐng)求從先前看到的USB記憶棒中竊取特定文件;下次USB連接到計(jì)算機(jī)時(shí)，文件將被盜。

    TajMahal至少在過去五年中已經(jīng)開發(fā)和使用。第一個(gè)已知的“合法”樣本時(shí)間戳是從2013年8月開始，最后一個(gè)是從2018年4月開始。在受害者的機(jī)器上看到TajMahal樣本的第一個(gè)確認(rèn)日期是2014年8月。

技術(shù)細(xì)節(jié)

    卡巴斯基發(fā)現(xiàn)了兩種不同類型的TajMahal包，自稱為東京和橫濱?？ò退够鶎?shí)驗(yàn)室發(fā)現(xiàn)的受害者系統(tǒng)被兩個(gè)軟件包感染。這表明東京被用作第一階段感染，東京在受害者系統(tǒng)布置了功能齊全的橫濱，框架如下圖所示：

    根據(jù)這些受害者機(jī)器上的模塊，確定了以下有趣的功能：

• 能夠竊取發(fā)送到打印機(jī)隊(duì)列的文檔。

• 為受害者偵察收集的數(shù)據(jù)包括Apple移動(dòng)設(shè)備的備份列表。

• 錄制VoiceIP應(yīng)用程序音頻時(shí)拍攝屏幕截圖。

• 偷了寫CD圖像。

• 能夠在再次可用時(shí)竊取以前在可移動(dòng)驅(qū)動(dòng)器上看到的文件。

• 竊取Internet Explorer，Netscape Navigator，F(xiàn)ireFox和RealNetworks cookie。

• 如果從前端文件或相關(guān)注冊(cè)表值中刪除，則在重新引導(dǎo)后將使用新名稱和啟動(dòng)類型重新顯示。

歸屬：

猜想一：俄羅斯

卡巴斯基目前只公開了一個(gè)受害者，中亞地區(qū)一個(gè)外交部門，在之前的報(bào)道中，APT28也開始針對(duì)中亞地區(qū)進(jìn)行攻擊活動(dòng)。

猜想二：美國(guó)：

由地圖可見，中亞地區(qū)毗鄰俄羅斯，中國(guó)，該地區(qū)一直是美國(guó)極力拉攏的對(duì)象

    而且該框架卡巴稱為復(fù)雜的模塊化框架，根據(jù)時(shí)間戳最早13年就編譯，18年卡巴才首次發(fā)現(xiàn)，而美國(guó)的APT攻擊通常也是隱秘且模塊化，不易被發(fā)現(xiàn)，像Flame就是第一個(gè)被發(fā)現(xiàn)的復(fù)雜的模塊化木馬

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。