惡意軟件“八月”利用powershell進(jìn)行無文件感染

責(zé)任編輯:editor005

作者:nana

2016-12-13 14:55:30

摘自:安全牛

Proofpoint安全研究專家提醒,一種叫做“八月”(August)的新型竊取信息惡意軟件正利用Windows powershell腳本進(jìn)行無文件感染并通過Word文檔傳播

Proofpoint安全研究專家提醒,一種叫做“八月”(August)的新型竊取信息惡意軟件正利用Windows powershell腳本進(jìn)行無文件感染并通過Word文檔傳播。

這個惡意軟件是由高度個性化的TA530為載體來傳播的,研究者表示,“八月”傳播的目標(biāo)是零售商的客服、管理人員,竊取目標(biāo)計算機(jī)當(dāng)中的認(rèn)證信息與敏感文件。

為了保證感染成功,攻擊者會在郵件標(biāo)題中會提到目標(biāo)公司網(wǎng)站購物問題的參考信息。這些郵件是針對那些可以幫助解決此類問題的員工發(fā)出的,于是這些員工有很大可能性會打開內(nèi)含問題描述的附件去幫助客戶解決問題。

然而,一旦收件人打開這個文檔,他們就可能會啟用宏,并開啟powershell命令在本地下載安裝‘八月’。此惡意數(shù)據(jù)是從作為遠(yuǎn)程網(wǎng)站的powershell字節(jié)數(shù)組與通過XOR操作的幾行反混淆代碼下載的。

安全研究專家提醒本次傳播中使用的宏指令與ursnif銀行木馬傳播中用的很相似。他們都是意圖添加沙箱逃逸技術(shù)并通過執(zhí)行Maxmind,task counts,task names和recent file counts來進(jìn)行傳播。

‘八月’信息盜取軟件是作者用.net語言編寫并使用Confuser混淆完成的。通過對一個具體樣本的源代碼檢查,Proofpoint研究專家發(fā)現(xiàn)它可以竊取或上載有具體擴(kuò)展名的文檔到命令控制服務(wù)器,還可以竊取.rdp、wallet.dat文件及包括Electrum,Bither在內(nèi)的加密數(shù)字貨幣錢包。除此之外,還能夠確認(rèn)類似Wireshark,F(xiàn)iddler等安全工具是否裝載在本地。

除此之外,這個惡意軟件還能從FTP應(yīng)用(例如SmartFTP,FileZilla,TotalCommander,WinSCP,CoreFTP)和通訊應(yīng)用(Pidgin,PSI,LiveMessenger,及其他)中獲取認(rèn)證信息;能夠從Firefox,Chrome,Thunderbird,Outlook中收集cookies和密碼;能夠通過硬件ID、OS name,victim’s username與命令控制服務(wù)器實(shí)現(xiàn)交互;能夠用base64對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密,字符置換,添加隨機(jī)密鑰(使用加密的用戶代理字段傳遞給服務(wù)器)還能修改字符串。

“‘八月’可以在多種情況下大范圍竊取認(rèn)證信息和文件,這種惡意軟件本身經(jīng)過混淆編碼,其用來傳播的宏指令使用了一系列逃逸技術(shù)和一種無文件方式通過Powershell來裝載。所有的這些因素增加了從網(wǎng)關(guān)和端口探測這一軟件的難度。” Poofpoint專家表示。

鑒于網(wǎng)絡(luò)罪犯使用日益復(fù)雜和高度個人化的郵件作為誘餌,企業(yè)應(yīng)使用郵件網(wǎng)關(guān)過濾那些內(nèi)含沙箱逃逸技術(shù)在內(nèi)的宏指令來進(jìn)行防護(hù),同時應(yīng)該考慮向員工進(jìn)行培訓(xùn):對那些看似正常實(shí)則充滿陷阱的郵件保持警惕。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號