潛伏是諜戰片的重頭戲,可放諸網路空間,木馬的潛伏就成為了觸發安全預警的“暗雷”。近日,360政企安全反病毒團隊追蹤到,一木馬團伙通過篡改網上原始碼後重新打包軟體的方式,利用各類主流即時聊天軟體,擴散“暗藏”遠控木馬的各類“帶毒”工具事件,危及政企多端使用者安全。
從360安全大腦捕獲樣本來看,目前已發現遭該木馬團隊篡改的軟體,具體涉及Xfilter(費爾防火牆)和QuickFTP兩款產品。而在完成惡意篡改後,該木馬團伙還將軟體名修改為具有高迷惑性的名稱,通過QQ、微信等即時通訊軟體傳播,以誘導不明真相的使用者點選,擴散遠控木馬。
不過廣大使用者不必過分擔心,在360安全大腦的極智賦能下,360安全衛士可快速攔截查殺此類威脅。
鎖定防火牆精準投毒
“雙面”遠控木馬流竄多地
顧名思義,防火牆就是計算機內與外網之間的一道安全屏障。從360安全大腦追蹤到的資料來看,木馬團伙盯上防火牆軟體,篡改其網上原始碼,置入遠控木馬後重新打包軟體,這樣就讓傳統意義上網路安全的“防火牆”,變成了帶毒“傳染源”。
除此之外,木馬團伙為了提高感染率,還將篡改後的防火牆軟體命名為“1燈飾品材料設計效果”、”2020-10月財務報表明細.exe”、”2020logo尺寸大小詳細.exe”、”1樂心樂園規劃園資料.exe”等具有迷惑性的描述,並通過QQ、微信等即時通訊軟體擴散傳播,以誘導使用者點選下載。
在對樣本進行分析時,360安全大腦發現木馬作者相當狡猾,被篡改的軟體執行後,如果檔名不符合條件,就展示出正常軟體的介面和功能,用以對抗分析人員和各類沙箱;而當檔名稱符合預定格式時,就會執行遠控木馬的相關功能,憑藉“兩副面孔”流竄網路。
該木馬除了具有鍵盤記錄、盜號、截圖等常見遠控功能外,還會進一步利用QQ快捷登陸介面盜取QQ群資訊,侵害使用者隱私和資料。360安全大腦統計資料顯示,該木馬目前已在國內多個省份廣泛傳播。
遠控木馬“試探性”投毒
樣本溯源揭露元凶詭祕行蹤
在比對關鍵資訊過程中,360安全大腦發現該木馬樣本修改自XFilter原始碼。
而在執行後,木馬會首先判斷bugrpt.log檔案是否存在,如若存在會直接讀取該檔案。否則會從hxxp://146.196.83.133:9527/Code.jpg下載資料到C:\\Users\\Public\\Documents檔案下。
隨後,則會對資料檔案內容進行解密,而解密後的資料是一個動態連結庫(dll)檔案,木馬會定位其匯出函式GetQMLogEx並予以執行。
GetQMLogEx()函式首先會判斷是否有管理員許可權,如果沒有則會嘗試將自身複製到C:\Users\Administrator\Documents資料夾下執行。
其中內建的遠控地址有如下幾個:
81.16.137.40
146.196.83.133
180.215.192.63
146.196.83.168
115.231.220.147
執行過程中,木馬會迴圈嘗試以上IP,一旦發現遠端地址可用,則嘗試連線遠端地址的2021埠。
之後對檔名進行驗證。判斷程式本身檔名首字元是否為1~5的數字,如果是才會繼續釋放後續的木馬功能。
木馬隨後生成一個隨機數字,並在C:\Users\Public\Documents目錄下新建該隨機名的目錄。
再複製自身為wowFuncEx.exe到該目錄下並執行。
而當該木馬以WowFuncEx.exe命名時,就會執行其遠控的相關功能。
同時還會複製本檔案到同一目錄下重新命名為MainProEx.exe,作為雙程式保護。
通過分析,360安全大腦發現該遠控不僅具有盜QQ號、關閉裝置、獲取鍵盤記錄、新增使用者、截圖、新增自啟動項、下載程式並執行等在遠控木馬中常見的惡意功能,甚至還會通過遍歷程式的操作檢查系統中存在的安全軟體,嚴重威脅資料資產安全。
無懼遠控木馬威脅
360安全大腦高築防禦壁壘
面對遠控木馬等各類層出不窮的網路安全威脅,360安全大腦賦能下的新一代防護體系,不僅推出了橫向移動防護、軟體劫持攻擊、無檔案攻擊等各類應對高階威脅攻擊的體系防護能力,還增加了應對RDP爆破攻擊,web應用系統漏洞,webshell攻擊等多項針對伺服器的防護能力。同時,依託於2EB+全網大資料和快速分析發現能力,360安全大腦可第一時間發現軟體劫持攻擊,檔案篡改攻擊,供應鏈攻擊等各類新生攻擊事件,輸出體系化防護能力。
(360安全大腦監控到的各類攻擊事件)
目前,在360安全大腦的強勢賦能下,360安全衛士等系列產品可在第一時間攔截查殺此類木馬威脅。同時,面對強勢來襲的遠控木馬威脅,360政企安全反病毒中心針對廣大政企多端使用者,給出如下安全建議:
1.對於個人使用者,可及時前往weishi.360.cn下載安裝360安全衛士,全面攔截各類木馬病毒攻擊;
2.對於廣大政企使用者,可通過安裝360終端安全管理系統,有效攔截木馬病毒威脅,保護檔案及資料安全,詳情可通過400-6693-600諮詢瞭解;而對於小微企業,則可直接前往safe.online.360.cn,免費體驗360安全衛士團隊版,抵禦木馬病毒攻擊;
3.對於安全軟體報毒的程式,不要輕易新增信任或退出安全軟體;
4.不隨意開啟陌生人發來的各種檔案。