遠控木馬“寄生”防火牆流竄,360安全大腦溯源復現威脅影像
潛伏是諜戰片的重頭戲,可放諸網路空間,木馬的潛伏就成為了觸發安全預警的“暗雷”。近日,360政企安全反病毒團隊追蹤到,一木馬團伙通過篡改網上原始碼後重新打包軟體的方式,利用各類主流即時聊天軟體,擴散“暗藏”遠控木馬的各類“帶毒”工具事件,危及政企多端使用者安全。
從360安全大腦捕獲樣本來看,目前已發現遭該木馬團隊篡改的軟體,具體涉及Xfilter(費爾防火牆)和QuickFTP兩款產品。而在完成惡意篡改後,該木馬團伙還將軟體名修改為具有高迷惑性的名稱,通過QQ、微信等即時通訊軟體傳播,以誘導不明真相的使用者點選,擴散遠控木馬。
不過廣大使用者不必過分擔心,在360安全大腦的極智賦能下,360安全衛士可快速攔截查殺此類威脅。
鎖定防火牆精準投毒
“雙面”遠控木馬流竄多地
顧名思義,防火牆就是計算機內與外網之間的一道安全屏障。從360安全大腦追蹤到的資料來看,木馬團伙盯上防火牆軟體,篡改其網上原始碼,置入遠控木馬後重新打包軟體,這樣就讓傳統意義上網路安全的“防火牆”,變成了帶毒“傳染源”。
除此之外,木馬團伙為了提高感染率,還將篡改後的防火牆軟體命名為“1燈飾品材料設計效果”、”2020-10月財務報表明細.exe”、”2020logo尺寸大小詳細.exe”、”1樂心樂園規劃園資料.exe”等具有迷惑性的描述,並通過QQ、微信等即時通訊軟體擴散傳播,以誘導使用者點選下載。
在對樣本進行分析時,360安全大腦發現木馬作者相當狡猾,被篡改的軟體執行後,如果檔名不符合條件,就展示出正常軟體的介面和功能,用以對抗分析人員和各類沙箱;而當檔名稱符合預定格式時,就會執行遠控木馬的相關功能,憑藉“兩副面孔”流竄網路。
該木馬除了具有鍵盤記錄、盜號、截圖等常見遠控功能外,還會進一步利用QQ快捷登陸介面盜取QQ群資訊,侵害使用者隱私和資料。360安全大腦統計資料顯示,該木馬目前已在國內多個省份廣泛傳播。
遠控木馬“試探性”投毒
樣本溯源揭露元凶詭祕行蹤
在比對關鍵資訊過程中,360安全大腦發現該木馬樣本修改自XFilter原始碼。
而在執行後,木馬會首先判斷bugrpt.log檔案是否存在,如若存在會直接讀取該檔案。否則會從hxxp://146.196.83.133:9527/Code.jpg下載資料到C:\\Users\\Public\\Documents檔案下。
隨後,則會對資料檔案內容進行解密,而解密後的資料是一個動態連結庫(dll)檔案,木馬會定位其匯出函式GetQMLogEx並予以執行。
GetQMLogEx()函式首先會判斷是否有管理員許可權,如果沒有則會嘗試將自身複製到C:\Users\Administrator\Documents資料夾下執行。
其中內建的遠控地址有如下幾個:
81.16.137.40
146.196.83.133
180.215.192.63
146.196.83.168
115.231.220.147
執行過程中,木馬會迴圈嘗試以上IP,一旦發現遠端地址可用,則嘗試連線遠端地址的2021埠。
之後對檔名進行驗證。判斷程式本身檔名首字元是否為1~5的數字,如果是才會繼續釋放後續的木馬功能。
木馬隨後生成一個隨機數字,並在C:\Users\Public\Documents目錄下新建該隨機名的目錄。
再複製自身為wowFuncEx.exe到該目錄下並執行。
而當該木馬以WowFuncEx.exe命名時,就會執行其遠控的相關功能。
同時還會複製本檔案到同一目錄下重新命名為MainProEx.exe,作為雙程式保護。
通過分析,360安全大腦發現該遠控不僅具有盜QQ號、關閉裝置、獲取鍵盤記錄、新增使用者、截圖、新增自啟動項、下載程式並執行等在遠控木馬中常見的惡意功能,甚至還會通過遍歷程式的操作檢查系統中存在的安全軟體,嚴重威脅資料資產安全。
無懼遠控木馬威脅
360安全大腦高築防禦壁壘
面對遠控木馬等各類層出不窮的網路安全威脅,360安全大腦賦能下的新一代防護體系,不僅推出了橫向移動防護、軟體劫持攻擊、無檔案攻擊等各類應對高階威脅攻擊的體系防護能力,還增加了應對RDP爆破攻擊,web應用系統漏洞,webshell攻擊等多項針對伺服器的防護能力。同時,依託於2EB+全網大資料和快速分析發現能力,360安全大腦可第一時間發現軟體劫持攻擊,檔案篡改攻擊,供應鏈攻擊等各類新生攻擊事件,輸出體系化防護能力。
(360安全大腦監控到的各類攻擊事件)
目前,在360安全大腦的強勢賦能下,360安全衛士等系列產品可在第一時間攔截查殺此類木馬威脅。同時,面對強勢來襲的遠控木馬威脅,360政企安全反病毒中心針對廣大政企多端使用者,給出如下安全建議:
1.對於個人使用者,可及時前往weishi.360.cn下載安裝360安全衛士,全面攔截各類木馬病毒攻擊;
2.對於廣大政企使用者,可通過安裝360終端安全管理系統,有效攔截木馬病毒威脅,保護檔案及資料安全,詳情可通過400-6693-600諮詢瞭解;而對於小微企業,則可直接前往safe.online.360.cn,免費體驗360安全衛士團隊版,抵禦木馬病毒攻擊;
3.對於安全軟體報毒的程式,不要輕易新增信任或退出安全軟體;
4.不隨意開啟陌生人發來的各種檔案。
相關文章
- “看門狗”團伙的遠控木馬畫皮術,360安全大腦獨家披露
- 再見黑產“礦老闆”!360EDR多維防控挖礦木馬威脅
- 遊戲盜號木馬橫掃多地網咖,360安全大腦溯源披露作案攻擊手法遊戲
- 安全公司:木馬程式仍是網際網路上最主要威脅
- 安卓現盜號木馬威脅網銀盜刷安卓
- 360安全大腦獨家披露,“名企招聘”文件裡的詭詐木馬
- window10關閉防火牆還會發現威脅怎麼辦 window10關閉防火牆還會提示修復方法防火牆
- 20天破獲“新冠疫情”木馬案,360安全大腦協助警方極速追凶
- 亂世木馬重回戰場,360安全大腦獨家追蹤簽名冒用危機
- 網路安全戰威脅愈緊,駐軍AI國家隊的360安全大腦改變了什麼?AI
- 另類遠控:木馬借道商業級遠控軟體的隱藏執行實現
- 木牛流馬
- 2022年三大SaaS安全威脅
- 滲透測試-灰鴿子遠控木馬
- 管控內部威脅,資料如何安全使用?
- Windows應急響應-灰鴿子遠控木馬Windows
- 網站伺服器木馬後門查詢之威脅情報分析網站伺服器
- 郵件安全威脅
- 移花接木大法:新型“白利用”華晨遠控木馬分析
- 深度追蹤Mozi殭屍網路:360安全大腦精準溯源,揪出幕後黑手
- 內網威脅感知與攻擊溯源系統內網
- 一個支付寶木馬的分析溯源之旅
- “大灰狼”遠控木馬分析及幕後真兇調查
- 挖礦木馬猖獗,360安全衛士破解“黑礦工”之困
- 教你如何防範遠端桌面協議(RDP)的安全威脅協議
- 什麼是網路安全威脅?常見威脅有哪些?
- 日常“列印軟體”竟然暗藏遠控木馬,白領小心中招!
- Torchwood遠控木馬“魚目混珠”,終被識破打回原形……
- 網路安全——防火牆詳解防火牆
- 安全要素與 STRIDE 威脅IDE
- 數字威脅遠比想象更嚴峻,微軟現代化安全策略背後微軟
- 騰訊雲防火牆全新升級,“三道牆”助力企業雲安全防控更高效防火牆
- 教你解密Gh0st 1.0遠控木馬VIP版配置資訊解密
- “您的主機已被接管!”新型 JavaScript 遠控木馬花樣來襲JavaScript
- 威脅快報|Nexus Repository Manager 3新漏洞已被用於挖礦木馬傳播,建議使用者儘快修復
- linux iptables安全技術與防火牆Linux防火牆
- H3C防火牆-安全域防火牆
- 海外 | 威脅物聯網的7大安全隱患