您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

从间谍木马到远控木马,这群黑客下手越来越狠

时间:2019-10-31 14:47:45  来源:  作者:
从间谍木马到远控木马,这群黑客下手越来越狠

 

最近,网络安全公司趋势科技( Trend Micro)监测到了一起恶意垃圾电子邮件活动。传播的有效载荷从最开始的间谍木马“Agent Tesla”(也被称为“Negasteal”),再到后来的远控木马“Ave Maria”(也被称为“Warzone”),似乎预示着这起活动背后的黑客正朝着部署更具破坏力的恶意软件转变。

值得注意的是,垃圾电子邮件使用了IOS镜像文件以及RAR和LZH压缩文件作为附件,旨在绕过安全检测,进而提升感染的成功率。

垃圾电子邮件分析

趋势科技表示,与这起活动相关的垃圾电子邮件附件大都伪装成装运通知和财务文件。

从间谍木马到远控木马,这群黑客下手越来越狠

图1. 包含Agent Tesla间谍木马的RAR附件伪装成装运通知


从间谍木马到远控木马,这群黑客下手越来越狠

图2.包含Ave Maria远控木马的LZH附件伪装成预付款通知

无论是Agent Tesla还是Ave Maria,都经过两层混淆处理:第一层,实际的恶意软件二进制文件被混淆为AutoIT脚本(.au3);第二层,使用Autout编译器(如Aut2Exe)将脚本编译为可执行文件。

从间谍木马到远控木马,这群黑客下手越来越狠

图3. Agent Tesla(上)和Ave Maria(下)的感染流程

一旦收件人下载了恶意附件,有效载荷就会自动被提取到计算机上。

恶意附件包含一个基于AutoIT的打包程序或加密程序,用于执行一个可以解密或加载Frenchy Shellcode版本5的脚本。

恶意有效载荷分析

在活动的早期,有效载荷为Agent Tesla,它能够记录按键、控制摄像头、屏幕截图、收集保存在剪贴板上的信息,以及从浏览器和电子邮件客户端等收集系统信息以及保存的用户名和密码。

但在活动的后期,Ave Maria开始现身,它拥有比Agent Tesla更多的功能。例如,它能够利用UAC绕过和进程令牌来提升特权,然后执行PowerShell Add-MpPreference –ExclusionPath cmdlet,通过修改windows Defender的设置以排除特定路径的实时扫描。

此外,Agent Tesla还会与命令和控制(C&C)服务器建立连接,以上传收集到的数据。

从间谍木马到远控木马,这群黑客下手越来越狠

图4. Ave Maria代码在特权提升后建立C&C连接

值得一提的是,无论是否进行特权提升,如果Ave Maria能够在系统中创建注册表项或将其自身的副本放置到“%Program Data%”目录中,它就将创建一个cmd.exe进程,然后注入恶意代码。如果失败,它将执行explorer.exe进行代码注入。

从间谍木马到远控木马,这群黑客下手越来越狠

图5. Ave Maria执行explorer.exe进行代码注入

一旦在受感染计算机上成功运行,Ave Maria即可记录用户的按键以及从以下协议和应用程序中窃取用户名和密码:

协议:

  • HTTP
  • IMAP
  • POP3
  • SMTP

应用程序:

  • Microsoft Outlook(1997-2010、2013和 2016 版本)
  • Windows Messaging
  • IE浏览器
  • 谷歌浏览器
  • Foxmail
  • Thunderbird
  • 火狐浏览器

不仅如此,Ave Maria还可以在受感染计算机上修改、删除和创建任意文件,以及枚举进程、文件、目录和驱动器。此外,它还能够终止正在运行的进程、删除文件以及自行卸载。

安全建议

鉴于恶意垃圾电子邮件使用的是IOS镜像文件以及RAR和LZH压缩文件作为附件,并且Agent Tesla以及Ave Maria都经过了高度混淆处理,因此我们建议无论是企业用户还是个人用户,都不要打来来路不明的电子邮件,尤其是电子邮件附件。

另外,无论是在工作场所还是家里,都要保持良好的上网习惯,并定期使用杀毒软件进行全盘扫描。



Tags:木马   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  Tags: 木马  点击:(24)  评论:(0)  加入收藏
一、知识点详解msfconsole,进入msf控制端show options,查看设置的ip地址和端口号是否写入run,根据写入的ip地址和端口号,开启监听服务help,在进入安卓手机的控制端,查看可以使用的...【详细内容】
2021-10-08  Tags: 木马  点击:(63)  评论:(0)  加入收藏
导读:在日常电脑使用中,很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全,比如说通...【详细内容】
2021-09-10  Tags: 木马  点击:(58)  评论:(0)  加入收藏
编程语言: Nodejs知识要点: 文件的16进制解析木马我们见得多, 以前多数会以EXE可执行文件形式出现后来, 开始在Web上出现, 主要侵扰Web页面, 给正常的HTML/ASP等加上木马代...【详细内容】
2021-08-04  Tags: 木马  点击:(69)  评论:(0)  加入收藏
一、网络配置1、首先保证所有的设备(kali虚拟机和安卓手机)都连接到同一个局域网(Wi-Fi)下。在现实生活中,黑客通常找寻免费的公共Wi-Fi,来保证有足够多的安卓手机供其渗透。所以...【详细内容】
2021-08-02  Tags: 木马  点击:(215)  评论:(0)  加入收藏
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08  Tags: 木马  点击:(144)  评论:(0)  加入收藏
电脑木马病毒是目前比较流行的病毒文件通过特定的程序来控制另一台电脑木马与其他病毒不一样的是,它不会传染到其他电脑只会在你的电脑破坏和窃取文件,甚至会控制你的电脑主...【详细内容】
2020-10-27  Tags: 木马  点击:(200)  评论:(0)  加入收藏
电脑木马病毒常常善于伪装,经常潜伏在各种知名工具中通过各大下载站分发传播,比较多见的就是各种破解工具,一般使用的时候那些破解工具会提示让添加杀毒软件白名单,这里很大一部...【详细内容】
2020-09-23  Tags: 木马  点击:(168)  评论:(0)  加入收藏
一句话木马是Webshell的一种,那什么是Webshell?先讲讲什么是shell。Shell是系统的用户界面,提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令并把它送入内核去执...【详细内容】
2020-08-11  Tags: 木马  点击:(384)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19  Tags: 木马  点击:(97)  评论:(0)  加入收藏
▌简易百科推荐
log4j漏洞的形成原因已经有很多分析文章了,这里说一说我是如何在了解到有漏洞后,跟进漏洞产生原理的,以及发现的一些绕WAF tips跟进漏洞产生原因的思路如何发现漏洞产生的原因...【详细内容】
2021-12-22  IT野涵    Tags:og4j漏洞   点击:(8)  评论:(0)  加入收藏
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  极牛网    Tags:恶意木马   点击:(24)  评论:(0)  加入收藏
导读:在日常电脑使用中,很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全,比如说通...【详细内容】
2021-09-10  极客小君    Tags:木马   点击:(58)  评论:(0)  加入收藏
编程语言: Nodejs知识要点: 文件的16进制解析木马我们见得多, 以前多数会以EXE可执行文件形式出现后来, 开始在Web上出现, 主要侵扰Web页面, 给正常的HTML/ASP等加上木马代...【详细内容】
2021-08-04  代码大叔    Tags:特洛伊木马   点击:(69)  评论:(0)  加入收藏
恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到。恶意代码常见功能...【详细内容】
2020-12-14      Tags:恶意代码   点击:(131)  评论:(0)  加入收藏
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08      Tags:木马   点击:(144)  评论:(0)  加入收藏
前言这次检查并不是帮我,而是帮一位粉丝。当时私聊我的时候我还挺高兴的,至少得到了认可。 这次文章我也征求了他的同意才发出来的。也请别说我侵犯他人隐私。 过程早上醒...【详细内容】
2020-08-31      Tags:程序后门   点击:(149)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19      Tags:木马   点击:(97)  评论:(0)  加入收藏
能直接从账户盗走钱财的银行木马,一直被称为是恶意软件中最邪恶的一种。近日,360安全大脑独家发布《深度揭露Anubis移动银行木马》报告,全面披露了近期瞄准全球300多国家银行...【详细内容】
2020-04-24      Tags:木马突袭   点击:(130)  评论:(0)  加入收藏
相信大家都有这么一个经历,我们使用电脑,在某些来历不明的网站上下载一些程序,然后打开这些程序的时候,可能会出现以下的情况。 嗯没错,你电脑中的杀毒软件会给你发出温馨的提示,...【详细内容】
2020-04-07      Tags:木马病毒   点击:(169)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条