安基网 首页 资讯 安全报 查看内容

小心!新型远控木马搭载“鱼叉钓鱼攻击”,竟会定期访问黑客站点

2020-10-13 12:59| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近期,亚信安全截获一款新型远控木马,该木马通过鱼叉钓鱼攻击传播,其附件为HTML文件,运行后会自动下载DOC文档,窃取计算机基本信息及OutLook邮箱账号密码等,除此之外,该木马还会定期访问黑客站点,根据黑客指令运行任意命令或文件。垃圾邮件一直是黑客投放恶意软件或工具的主要途径之一,我们曾遇 ...
近期,亚信安全截获一款新型远控木马,该木马通过鱼叉钓鱼攻击传播,其附件为HTML文件,运行后会自动下载DOC文档,窃取计算机基本信息及OutLook邮箱账号密码等,除此之外,该木马还会定期访问黑客站点,根据黑客指令运行任意命令或文件。

垃圾邮件一直是黑客投放恶意软件或工具的主要途径之一,我们曾遇到多起安全事件的感染源头是通过垃圾邮件进入的,因此培养员工的安全意识是企业安全的重中之重,亚信安全的DDEI产品可以自动分析并拦截携带恶意附件的垃圾邮件,大幅度降低恶意文件的落地可能性,在本次事件中,垃圾邮件携带的恶意附件可被DDEI识别。

亚信安全产品解决方案

攻击流程

病毒详细分析

邮件的附件文件实际类型为HTML,打开后其会通过JavaScript解密并创建一个Blob对象,自动下载恶意DOC文件。

打开此Word文件发现其内容是一段诱导用户启用宏功能的文字,无有效内容。

其宏代码高度混淆,主要功能是在启用宏功能的情况下,打开文档时会自动创建PowerShell进程,从远程C&C地址下载一段PowerShell脚本。

继续分析下载的PowerShell脚本,发现其会创建一个不会退出的PowerShell进程并拉取另外一个PowerShell脚本。

最终下载的PowerShell脚本主要功能如下:

脚本中内置了一个Base64加密的DLL文件,此文件使用NET语言编写,其功能主要是提供DGA算法、拉起进程/线程及数据解密等方法。

收集计算机信息使用Base64加密后上传到黑客站点。

Outlook Email账号收集。

计算机信息收集。

截取当前屏幕信息并上传。

最终进入死循环序列,每隔5分钟左右使用DGA算法生成C&C地址并尝试访问,若访问成功,则根据返回数据指令执行不同功能。返回包数据结构如下:

经分析后续流程发现其主要功能是下载或运行其他恶意软件,理论上可以执行任意命令或文件,危害较大。具体命令与功能整理如下:

安全建议

不要点击来源不明的邮件以及附件;不要点击来源不明的邮件中包含的链接;默认情况下禁止启用宏;请到正规网站下载程序;采用高强度的密码,避免使用弱口令密码,并定期更换密码;打开系统自动更新,并检测更新进行安装。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://baijiahao.baidu.com/s?id=1680388476415018297

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部