信息來(lái)源：企業(yè)網(wǎng) 

近日，卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)了一種名為Slingshot的惡意軟件，該軟件能夠隱藏大約六年。雖然確切的數(shù)字還不知道，但該惡意軟件已感染了位于非洲和中東等不同國(guó)家的約100名用戶。

Slingshot被認(rèn)為在2012年至2018年2月期間活躍。它是一個(gè)高度復(fù)雜的網(wǎng)絡(luò)間諜工具，與已知平臺(tái)Project Sauron和Regin的復(fù)雜性相匹配。

它感染W(wǎng)indows機(jī)器的方式之一是通過(guò)MikroTik路由器及其管理軟件Winbox Loader。研究人員包括受害者通過(guò)Windows有受到感染的可能性。

Slingshot首先感染路由器，然后在受害者的計(jì)算機(jī)上加載兩個(gè)名為Cahnadr(內(nèi)核模式模塊)和GollumApp(用戶模式模塊)的強(qiáng)大模塊。 之后，網(wǎng)絡(luò)間諜工具可以收集各種信息，包括USB連接，鍵盤，剪貼板數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)，屏幕截圖，密碼等。

此外，借助內(nèi)核模式的設(shè)施，Slingshot后面的攻擊者可以完全控制受害者的計(jì)算機(jī)。研究人員寫道：“對(duì)用戶沒(méi)有限制也沒(méi)有保護(hù)(或者說(shuō)任何惡意軟件都可以輕易繞過(guò))?！?

據(jù)研究人員介紹，考慮到Slingshot的先進(jìn)性和強(qiáng)大性，Slingshot的研發(fā)可能涉及高昂的成本和技術(shù)。Slingshot的代碼表明它的開(kāi)發(fā)者講英語(yǔ)，并且背后很可能有一些資本或者勢(shì)力支持。Slingshot擁有自己的加密文件系統(tǒng)。它可以禁用Windows操作系統(tǒng)中的磁盤碎片整理功能，以防止Slingshot存儲(chǔ)在硬盤驅(qū)動(dòng)器上的數(shù)據(jù)被重新定位。

MikroTik已經(jīng)提供了研究人員目前關(guān)于惡意軟件的有限集合信息。建議受影響的用戶將路由器固件更新到最新版本。Slingshot可能已經(jīng)感染了其他路由器的用戶。