上周五，火眼公司分享了其最新发现的相关细节。他们检测到了某种高度复杂的bot，它自2013年起就开始攻击全球各地的公司，且几乎一直未被反恶意软件解决方案检测到。

火眼将这种恶意后门称为LATENTBOT（潜伏僵尸），它在2015年已经成功入侵了9个国家。这些国家有美国、英国、韩国、巴西、阿联酋、新加坡、加拿大、秘鲁和波兰。

火眼研究人员塔哈·卡里姆（Taha Karim）和丹尼尔·瑞格拉道（Daniel Regalado）在研究报告中写道：“它设法抹除了所有留在网上的痕迹，还能够在几乎完全不被注意到的情况下监控受害者，甚至损坏硬盘，让计算机无用。”

火眼公司表示，已经观察到多个行业遭到入侵，但它们主要属于金融服务和保险领域。

LATENTBOT是火眼公司发现过最复杂的后门之一。它的混淆过程分为六个阶段，可以完全在内存中进行所有操作，还能够利用Pony Stealer 2.0恶意插件扫描加密货币钱包。

火眼称，LATENTBOT采用了多重、新层次的混淆方式，并已经成功感染了多个组织。

为了保持隐蔽性，LATENTBOT 中负责入侵系统的的恶意代码只会在内存中驻留极端的时间。

“编码过的数据大多数都出现在程序资源或者注册表中。各个组件之间共享自定义加密算法，并使用它和幕后控制服务器进行通讯。因此，杀毒软件对该后门的二进制家族检测率非常低，即便检测到了，显示的名称也很模糊，比如Trojan.Generic:。”

火眼公司表示，LATENTBOT 从本质上讲并不是有针对性的，但它会选择所感染的 Windows 系统版本，比如它不会在 Windows Vista 或者 Windows Server 2008上运行。此外，如果该恶意软件运行在笔记本上，它将使用 GetSystemPowerStatus 查询电池状态，并调用SetThreadExecutionState，避免系统在电量过低时睡眠或者关闭显示器。

火眼公司研究了网上类似的样本和被动 DNS 信息，该公司认为 LATENTBOT 在2013年就已经被编写出来，它使用已被黑客入侵的服务器进行幕后控制。

该软件背后的黑客使用了一种久经验证的方法，利用恶意邮件发送广为人知的 经典漏洞利用工具包 Microsoft Word Intruder（WMI）。如果用户打开毒化过的 Word 文档，嵌入在文件中的恶意代码就会执行并连接到两类服务器。其一是 MWISTAT 服务器，它可以让操纵者追踪攻击活动；其二是幕后控制服务器，它被用于进行第二阶段的代码下载。研究人员发现，第二阶段下载的代码是 LuminosityLink ，这是一种远程控制软件（RAT），可以窃取密码、记录键盘、传输文件、打开设备麦克风或摄像头。

“由于黑客已经可以使用 LuminosityLink 完全控制受害机器，在发现该软件还会向后备的幕后控制服务器（emenike[.]no-ip.info，180.74.89.183）下载另外一种攻击载荷时，我们感到非常惊讶。”这个被下载的攻击模块正是 LATENTBOT。

LATENTBOT 的核心功能包括：

• 恶意代码，高度混淆，只在内存中驻留很短暂的时间
• 在不同的桌面上隐藏应用程序
• 擦除主引导记录（MBR）
• 锁定桌面，这类似勒索软件的功能
• 隐藏的虚拟网络计算机连接（VNC）
• 模块化设计，在受害者机器上进行更新十分方便
• 隐身：动态解密回调流量、API、注册表键等指标
• 投放 Pony 恶意软件，窃取信息

读者可以在火眼官网上查到详细的六个阶段，并下载各种插件、LATENTBOT 样本的 MD5 哈希值、各种幕后控制服务器的 IP 和域名。