繼印度庫丹庫拉姆核電站（Kudankulam）外部網(wǎng)絡(luò)遭惡意軟件感染事件后，近日，網(wǎng)絡(luò)安全公司Cyberbit發(fā)布了針對該事件的最終分析報告。

報告中指出：對發(fā)電廠攻擊中使用的Dtrack RAT惡意軟件變種的分析發(fā)現(xiàn)，該惡意軟件的變體是經(jīng)過精心定制的，并且專門針對該發(fā)電廠進行攻擊。

因為它對核電站的內(nèi)部網(wǎng)絡(luò)的憑據(jù)進行了硬編碼，惡意軟件刪除程序與該公司以前研究過的惡意軟件共享技術(shù)：BackSwap(一名銀行木馬)和Ursnif(一名銀行/竊取木馬)類似。

該公司表示：有效檢測這種類型的高度針對性的惡意軟件可能會產(chǎn)生錯誤的結(jié)果，這就需要熟練的分析師。這對于大多數(shù)企業(yè)級來說是不可接受的解決方案，因此很難檢測到這些病毒。

對此，該公司給予了以下建議：

•使用我們提到的哈希(SHA256)并將其列入黑名單。(*注：新的哈希值一直在出現(xiàn)，因為它們很容易更改。)

•使用ping -n命令搜索執(zhí)行延遲執(zhí)行的程序。

•搜索來自單個主機的網(wǎng)絡(luò)配置命令的過度使用，例如“ netstat.exe”，“ net.exe使用”，“ ipconfig.exe”和“ netsh.exe”

•搜索添加通常稱為“ WBService”的新服務(wù)的過程

•搜索正在對Microsoft進程執(zhí)行代碼注入/代碼挖空的未簽名文件

•查找描述與圖標(biāo)不匹配的文件。例如，描述為“安全銀行啟動器”的文件的“ VNC查看器”圖標(biāo)