您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

从间谍木马到远控木马,这群黑客下手越来越狠

时间:2019-10-31 14:47:45  来源:  作者:
从间谍木马到远控木马,这群黑客下手越来越狠

 

最近,网络安全公司趋势科技( Trend Micro)监测到了一起恶意垃圾电子邮件活动。传播的有效载荷从最开始的间谍木马“Agent Tesla”(也被称为“Negasteal”),再到后来的远控木马“Ave Maria”(也被称为“Warzone”),似乎预示着这起活动背后的黑客正朝着部署更具破坏力的恶意软件转变。

值得注意的是,垃圾电子邮件使用了IOS镜像文件以及RAR和LZH压缩文件作为附件,旨在绕过安全检测,进而提升感染的成功率。

垃圾电子邮件分析

趋势科技表示,与这起活动相关的垃圾电子邮件附件大都伪装成装运通知和财务文件。

从间谍木马到远控木马,这群黑客下手越来越狠

图1. 包含Agent Tesla间谍木马的RAR附件伪装成装运通知


从间谍木马到远控木马,这群黑客下手越来越狠

图2.包含Ave Maria远控木马的LZH附件伪装成预付款通知

无论是Agent Tesla还是Ave Maria,都经过两层混淆处理:第一层,实际的恶意软件二进制文件被混淆为AutoIT脚本(.au3);第二层,使用Autout编译器(如Aut2Exe)将脚本编译为可执行文件。

从间谍木马到远控木马,这群黑客下手越来越狠

图3. Agent Tesla(上)和Ave Maria(下)的感染流程

一旦收件人下载了恶意附件,有效载荷就会自动被提取到计算机上。

恶意附件包含一个基于AutoIT的打包程序或加密程序,用于执行一个可以解密或加载Frenchy Shellcode版本5的脚本。

恶意有效载荷分析

在活动的早期,有效载荷为Agent Tesla,它能够记录按键、控制摄像头、屏幕截图、收集保存在剪贴板上的信息,以及从浏览器和电子邮件客户端等收集系统信息以及保存的用户名和密码。

但在活动的后期,Ave Maria开始现身,它拥有比Agent Tesla更多的功能。例如,它能够利用UAC绕过和进程令牌来提升特权,然后执行PowerShell Add-MpPreference –ExclusionPath cmdlet,通过修改windows Defender的设置以排除特定路径的实时扫描。

此外,Agent Tesla还会与命令和控制(C&C)服务器建立连接,以上传收集到的数据。

从间谍木马到远控木马,这群黑客下手越来越狠

图4. Ave Maria代码在特权提升后建立C&C连接

值得一提的是,无论是否进行特权提升,如果Ave Maria能够在系统中创建注册表项或将其自身的副本放置到“%Program Data%”目录中,它就将创建一个cmd.exe进程,然后注入恶意代码。如果失败,它将执行explorer.exe进行代码注入。

从间谍木马到远控木马,这群黑客下手越来越狠

图5. Ave Maria执行explorer.exe进行代码注入

一旦在受感染计算机上成功运行,Ave Maria即可记录用户的按键以及从以下协议和应用程序中窃取用户名和密码:

协议:

  • HTTP
  • IMAP
  • POP3
  • SMTP

应用程序:

  • Microsoft Outlook(1997-2010、2013和 2016 版本)
  • Windows Messaging
  • IE浏览器
  • 谷歌浏览器
  • Foxmail
  • Thunderbird
  • 火狐浏览器

不仅如此,Ave Maria还可以在受感染计算机上修改、删除和创建任意文件,以及枚举进程、文件、目录和驱动器。此外,它还能够终止正在运行的进程、删除文件以及自行卸载。

安全建议

鉴于恶意垃圾电子邮件使用的是IOS镜像文件以及RAR和LZH压缩文件作为附件,并且Agent Tesla以及Ave Maria都经过了高度混淆处理,因此我们建议无论是企业用户还是个人用户,都不要打来来路不明的电子邮件,尤其是电子邮件附件。

另外,无论是在工作场所还是家里,都要保持良好的上网习惯,并定期使用杀毒软件进行全盘扫描。



Tags:木马   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除,谢谢。
▌相关推荐
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08  Tags: 木马  点击:(74)  评论:(0)  加入收藏
电脑木马病毒是目前比较流行的病毒文件通过特定的程序来控制另一台电脑木马与其他病毒不一样的是,它不会传染到其他电脑只会在你的电脑破坏和窃取文件,甚至会控制你的电脑主...【详细内容】
2020-10-27  Tags: 木马  点击:(83)  评论:(0)  加入收藏
电脑木马病毒常常善于伪装,经常潜伏在各种知名工具中通过各大下载站分发传播,比较多见的就是各种破解工具,一般使用的时候那些破解工具会提示让添加杀毒软件白名单,这里很大一部...【详细内容】
2020-09-23  Tags: 木马  点击:(92)  评论:(0)  加入收藏
一句话木马是Webshell的一种,那什么是Webshell?先讲讲什么是shell。Shell是系统的用户界面,提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令并把它送入内核去执...【详细内容】
2020-08-11  Tags: 木马  点击:(162)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19  Tags: 木马  点击:(37)  评论:(0)  加入收藏
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。1、D盾_Web查杀阿D出品,使用自行研发不分扩展名的代码分析引...【详细内容】
2020-07-16  Tags: 木马  点击:(72)  评论:(0)  加入收藏
病毒:破坏计算机功能或数据,以破坏为主,传染其他程序的方式是通过修改其他程序来把自身或其变种复制进去完成的,典型的熊猫烧香。蠕虫:通过网络的通信功能将自身从一个结点发送...【详细内容】
2020-06-30  Tags: 木马  点击:(48)  评论:(0)  加入收藏
智能手机的普及,除了带来各种便利之外,也带来了很大的安全隐患。智能手机在使用时,如果不小心,可能会被黑客植入木马病毒。植入木马之后,黑客究竟能做哪些事情呢?听我接着给你唠。...【详细内容】
2020-06-29  Tags: 木马  点击:(28)  评论:(0)  加入收藏
能直接从账户盗走钱财的银行木马,一直被称为是恶意软件中最邪恶的一种。近日,360安全大脑独家发布《深度揭露Anubis移动银行木马》报告,全面披露了近期瞄准全球300多国家银行...【详细内容】
2020-04-24  Tags: 木马  点击:(62)  评论:(0)  加入收藏
为了招揽客户,一些电商平台往往会给新注册用户发放优惠券或者新人红包,网络上专门有人搜集各类优惠券、红包,这种行为被称为“薅羊毛”。但想要“薅羊毛”就要用新手机号进行注...【详细内容】
2020-04-08  Tags: 木马  点击:(36)  评论:(0)  加入收藏
▌简易百科推荐
恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到。恶意代码常见功能...【详细内容】
2020-12-14      Tags:恶意代码   点击:(78)  评论:(0)  加入收藏
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08      Tags:木马   点击:(74)  评论:(0)  加入收藏
前言这次检查并不是帮我,而是帮一位粉丝。当时私聊我的时候我还挺高兴的,至少得到了认可。 这次文章我也征求了他的同意才发出来的。也请别说我侵犯他人隐私。 过程早上醒...【详细内容】
2020-08-31      Tags:程序后门   点击:(66)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19      Tags:木马   点击:(37)  评论:(0)  加入收藏
能直接从账户盗走钱财的银行木马,一直被称为是恶意软件中最邪恶的一种。近日,360安全大脑独家发布《深度揭露Anubis移动银行木马》报告,全面披露了近期瞄准全球300多国家银行...【详细内容】
2020-04-24      Tags:木马突袭   点击:(62)  评论:(0)  加入收藏
相信大家都有这么一个经历,我们使用电脑,在某些来历不明的网站上下载一些程序,然后打开这些程序的时候,可能会出现以下的情况。 嗯没错,你电脑中的杀毒软件会给你发出温馨的提示,...【详细内容】
2020-04-07      Tags:木马病毒   点击:(57)  评论:(0)  加入收藏
Trickbot,一种于2016年首次出现的恶意软件,能够从Windows主机中窃取系统信息、登录凭证以及其他敏感数据。Trickbot具有模块化的结构,密码抓取器就是其模块之一。在上个月,Tric...【详细内容】
2019-12-13      Tags:Trickbot   点击:(91)  评论:(0)  加入收藏
<?php @eval($_POST[value]);?>php语言无需编译,动态执行,我们不得不佩服它的开发效率。但正因为可以动态执行,才带来了类似一句话木马等安全问题。因为我们要十分警惕,否则,无论...【详细内容】
2019-12-04      Tags:一句话木马   点击:(105)  评论:(0)  加入收藏
盖茨木马0x00 前言Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装...【详细内容】
2019-11-08      Tags:木马   点击:(110)  评论:(0)  加入收藏
近期,有研究人员发现,Windows远程桌面服务中的BlueKeep远程代码执行漏洞已在公网中大量利用,目的是往脆弱的服务器中植入挖矿软件。安全人员表示这是通过针对远程桌面服务的蜜...【详细内容】
2019-11-06      Tags:BlueKeep   点击:(119)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条