首页
社区
课程
招聘
[转帖]新攻击手段更隐蔽:URL转址、判断运行环境
发表于: 2013-4-15 22:39 1207

[转帖]新攻击手段更隐蔽:URL转址、判断运行环境

2013-4-15 22:39
1207
【文章摘要】APT攻击愈演愈烈,继前不久韩国被攻击事件之后,FireEye最近又发现一款新的APT病毒Trojan.APT.BaneChant,在Email中夹带恶意word文档(文件名为IsIamic Jihad.doc)作为传播途径。根据文件名推测,主要攻击目标可能是中东和中亚的政府机构。
  APT攻击愈演愈烈,继前不久韩国被攻击事件之后,FireEye最近又发现一款新的APT病毒Trojan.APT.BaneChant,在Email中夹带恶意word文档(文件名为IsIamic Jihad.doc)作为传播途径。根据文件名推测,主要攻击目标可能是中东和中亚的政府机构。
  与一般的APT攻击模式相同,使用Trojan.APT.BaneChant病毒进行的APT攻击同样分成两个阶段,第一个阶段先侦测环境,掩护自身,第二个阶段才会下载后门程序。
  在第一个阶段里,一旦使用者下载恶意word文档,恶意软件不会立即执行,而是先分析该系统的运行环境,检测是否在沙箱(sandbox)或者自动化的病毒分析系统中运行,同时通过侦测鼠标点击频率来绕过沙箱分析,然后才进入第二个攻击阶段。
  进入第二个阶段后,该恶意软件会自动解码一个URL网址,然后通过该链接下载一个伪装成。JPG图片文件的后门程序,下载成功后,该后门程序会自行复制成两一个名为GoogleUPdate.exe的文件,并存放在C:\ProgramData\Google2\文件夹下,通过这样的方式,让使用者以为该恶意文件是Google更新服务的一部分。另外,还会在用户启动文件夹内建立一该恶意文件的快捷方式,以确保每次计算机重新启动后都能执行该后门程序,以搜集并将资料回传至远程C&C服务器。
  不仅如此,Trojan.APT.BaneChant还利用合法URL作为掩护,避免被侦测。距离来说,同样的方式也应用在第二阶段的攻击中,在下载恶意。JPG文件时,也会由合法网址导向恶意网站,通过这样的机制降低被侦测的机会。
  Trojan.APT.BaneChant避免被侦测的能力还不仅于此,FireEye研究人员Rong Hwa指出,之前曾发现过一款木马程序通过侦测鼠标点击次数,确认是否处于沙盒环境中,但当时的恶意软件仅以单一次鼠标点击作为判断,而BaneChant则会等到鼠标至少点击3次后,才会下载后门程序,显然随着防御机制的提升,病毒也在不断地演进,越来越不容易被侦测出来。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//