当前位置:网站首页 > 趣闻中心 > 正文

陪产假多少天,紧急避孕药什么时候吃有效,准生证怎么办-爱破涕-最好的身边故事和精编新闻

admin 0

0×0 布景

近来,深服气安全团队接到某大型进出口企业反应,依据安全感知渠道提示,内网部分邮箱遭受到歹意邮件的进犯。经过安全研究人员剖析发现,该歹意邮件包含一个疑似lokibot歹意软件的附件,首要是用于盗取用户各类账号暗码等秘要信息。经过进程中的一些数据剖析确认这是一同针对特定职业的定向进犯事情。

0×1 进程

经过对安全感知渠道里边的安全日志剖析能够发现,客户的部分邮箱收到了许多歹意邮件,发件人地址首要是srwuIan@maybank.co.id (maybank:马来西亚银行),maybank利诱用户获得信赖。主题为Remittance advice(汇款通知单),并且针对的收件人目标也很明晰,首要包含此类公共邮箱:planning(方案)、dataprocess(数据处理)、barge(船只)、bargecontrol 、dpsloading(dps:船只动力定位体系)等,截图如下:

源地址是一个来自美国的IP地址:142.4.5.244

经过Virustotal对该IP进行相关,未发现相关的歹意行为。

0×2 歹意附件

源附件为一个575Kb的可履行程序,首要假装成了一个音频文件的图标,检查木马母体信息是一个用Delphi封装的文件,编译的时刻戳被修改为1991-12-20。

病毒母体在履行的进程中会首要解密payload到进程内存中履行,先进行反虚拟机、反沙箱、反杀软、反调试剖析等操作,相关字符信息如下:

功用模块 特征字符举例 反虚拟机 VMwareVMware、XenVMMXenVMM、prl hyperv、Microsoft Hv、KVMKVMKVM 反沙箱 sandbox、malware、sample、virus、selfrun 反杀软 avp.exe、avastsvc.exe、avastui.exe、avgsvc.exe、avgui.exe、bdagent.exe、bdwtxag.exe、dwengine.exe 反调试剖析 procexp64.exe、procmon64.exe、procmon.exe、ollydbg.exe、procexp.exe、windbg.exe

payload中运用很多的跳转来搅扰调试,随后从资源中解密出PE文件后注入新的同名进程,该文件便是LokiBot的中心功用体。

LokiBot是在地下网站上出售的商业歹意软件,其功用是从受感染机器中盗取私家数据,然后经过HTTP POST将该信息提交给CC主机,灵敏数据首要包含:存储的暗码,Web浏览器、FTP、SFTP的暗码和凭据等信息。

盗取信息模块 特征字符举例 浏览器 IE系列 、Mozilla Firefox (x32+x64)、Google Chrome、Opera 衔接东西 FileZilla、Xftp、FlashFXP、Vandyk SecureFX、WinSCP、RealVNC Email端 Foxmail、Outlook

下图首要为完成读取Mozilla 用户登录凭据的部分功用:

歹意程序会将盗取到的主机信息与灵敏信息发送到C&C服务器,因为剖析时C&C端没有敞开,这儿本地运用SimpleHTTP来模仿接纳发送的数据内容,意图地址为:slomiter45u.us 。

能够明晰的发现木马向C2进行POST上传数据会带一个特别字符“ckav.ru”,依据已知的情报,该域名可能与某地下黑客买卖站点有关。

0×3解决方案

1、不要点击来源不明的邮件附件,特别是附件为可履行文件、带有宏的文档时,应进步警觉。

2、深服气为广阔用户免费供给查杀东西,可下载如下东西,进行检测查杀:

*本文作者:深服气千里目安全实验室,转载请注明来自FreeBuf.COM

分享到: