搜搜吧

搜搜吧 门户 安全 网络安全 查看内容

恶意软件“八月”利用powershell进行无文件感染

2017-3-17 10:24| 发布者: 俄罗斯方块| 查看: 1483| 评论: 0

摘要: Proofpoint安全研究专家提醒,一种叫做“八月”(August)的新型窃取信息恶意软件正利用Windows powershell脚本进行无文件感染并通过Word文档传播。no face hacker and binary code这个恶意软件是由高度个性化的TA530 ...

Proofpoint安全研究专家提醒,一种叫做“八月”(August)的新型窃取信息恶意软件正利用Windows powershell脚本进行无文件感染并通过Word文档传播。

no face hacker and binary code

no face hacker and binary code

这个恶意软件是由高度个性化的TA530为载体来传播的,研究者表示,“八月”传播的目标是零售商的客服、管理人员,窃取目标计算机当中的认证信息与敏感文件。

为了保证感染成功,攻击者会在邮件标题中会提到目标公司网站购物问题的参考信息。这些邮件是针对那些可以帮助解决此类问题的员工发出的,于是这些员工有很大可能性会打开内含问题描述的附件去帮助客户解决问题。

然而,一旦收件人打开这个文档,他们就可能会启用宏,并开启powershell命令在本地下载安装‘八月’。此恶意数据是从作为远程网站的powershell字节数组与通过XOR操作的几行反混淆代码下载的。

安全研究专家提醒本次传播中使用的宏指令与ursnif银行木马传播中用的很相似。他们都是意图添加沙箱逃逸技术并通过执行Maxmind,task counts,task names和recent file counts来进行传播。

‘八月’信息盗取软件是作者用.net语言编写并使用Confuser混淆完成的。通过对一个具体样本的源代码检查,Proofpoint研究专家发现它可以窃取或上载有具体扩展名的文档到命令控制服务器,还可以窃取.rdp、wallet.dat文件及包括Electrum,Bither在内的加密数字货币钱包。除此之外,还能够确认类似Wireshark,Fiddler等安全工具是否装载在本地。

除此之外,这个恶意软件还能从FTP应用(例如SmartFTP,FileZilla,TotalCommander,WinSCP,CoreFTP)和通讯应用(Pidgin,PSI,LiveMessenger,及其他)中获取认证信息;能够从Firefox,Chrome,Thunderbird,Outlook中收集cookies和密码;能够通过硬件ID、OS name,victim’s username与命令控制服务器实现交互;能够用base64对网络数据进行加密,字符置换,添加随机密钥(使用加密的用户代理字段传递给服务器)还能修改字符串。

“‘八月’可以在多种情况下大范围窃取认证信息和文件,这种恶意软件本身经过混淆编码,其用来传播的宏指令使用了一系列逃逸技术和一种无文件方式通过Powershell来装载。所有的这些因素增加了从网关和端口探测这一软件的难度。” Poofpoint专家表示。

鉴于网络罪犯使用日益复杂和高度个人化的邮件作为诱饵,企业应使用邮件网关过滤那些内含沙箱逃逸技术在内的宏指令来进行防护,同时应该考虑向员工进行培训:对那些看似正常实则充满陷阱的邮件保持警惕。

搜搜吧社区温馨提示:
搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!
4、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 kefu-sosoba@qq.com 一个工作日内核实并邮件通知立即删除

鲜花

握手

雷人

路过

鸡蛋

最新评论

资讯分类

推荐图文

文章排行

Powered by www.sosoba.org X3.4© 2013-2019 搜搜吧社区 小黑屋|手机版|地图|关于我们|新闻资讯|soso搜搜吧社区官网
搜搜吧社区官网创建于2013年07月23日,本站内容均为会员发表,并不代搜搜吧社区立场,请遵守当地相关法律,客服邮箱: kefu-sosoba@qq.com
本站所有的内容均来自互联网以及第三方作者自由发布、本站soso搜搜吧不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除
推荐使用:chrmoe谷歌浏览器,搜狗浏览器,QQ浏览器,360极速浏览器,360安全浏览器,猎豹浏览器,火狐浏览器,世界之窗,百度浏览器,Safari浏览器,ios,Android

GMT+8, 2018-11-19 17:23 , Processed in 1.062500 second(s), 20 queries , Gzip On.

返回顶部