-
-
[转帖]新攻击手段更隐蔽:URL转址、判断运行环境
-
发表于: 2013-4-15 22:39 1207
-
【文章摘要】APT攻击愈演愈烈,继前不久韩国被攻击事件之后,FireEye最近又发现一款新的APT病毒Trojan.APT.BaneChant,在Email中夹带恶意word文档(文件名为IsIamic Jihad.doc)作为传播途径。根据文件名推测,主要攻击目标可能是中东和中亚的政府机构。
APT攻击愈演愈烈,继前不久韩国被攻击事件之后,FireEye最近又发现一款新的APT病毒Trojan.APT.BaneChant,在Email中夹带恶意word文档(文件名为IsIamic Jihad.doc)作为传播途径。根据文件名推测,主要攻击目标可能是中东和中亚的政府机构。
与一般的APT攻击模式相同,使用Trojan.APT.BaneChant病毒进行的APT攻击同样分成两个阶段,第一个阶段先侦测环境,掩护自身,第二个阶段才会下载后门程序。
在第一个阶段里,一旦使用者下载恶意word文档,恶意软件不会立即执行,而是先分析该系统的运行环境,检测是否在沙箱(sandbox)或者自动化的病毒分析系统中运行,同时通过侦测鼠标点击频率来绕过沙箱分析,然后才进入第二个攻击阶段。
进入第二个阶段后,该恶意软件会自动解码一个URL网址,然后通过该链接下载一个伪装成。JPG图片文件的后门程序,下载成功后,该后门程序会自行复制成两一个名为GoogleUPdate.exe的文件,并存放在C:\ProgramData\Google2\文件夹下,通过这样的方式,让使用者以为该恶意文件是Google更新服务的一部分。另外,还会在用户启动文件夹内建立一该恶意文件的快捷方式,以确保每次计算机重新启动后都能执行该后门程序,以搜集并将资料回传至远程C&C服务器。
不仅如此,Trojan.APT.BaneChant还利用合法URL作为掩护,避免被侦测。距离来说,同样的方式也应用在第二阶段的攻击中,在下载恶意。JPG文件时,也会由合法网址导向恶意网站,通过这样的机制降低被侦测的机会。
Trojan.APT.BaneChant避免被侦测的能力还不仅于此,FireEye研究人员Rong Hwa指出,之前曾发现过一款木马程序通过侦测鼠标点击次数,确认是否处于沙盒环境中,但当时的恶意软件仅以单一次鼠标点击作为判断,而BaneChant则会等到鼠标至少点击3次后,才会下载后门程序,显然随着防御机制的提升,病毒也在不断地演进,越来越不容易被侦测出来。
APT攻击愈演愈烈,继前不久韩国被攻击事件之后,FireEye最近又发现一款新的APT病毒Trojan.APT.BaneChant,在Email中夹带恶意word文档(文件名为IsIamic Jihad.doc)作为传播途径。根据文件名推测,主要攻击目标可能是中东和中亚的政府机构。
与一般的APT攻击模式相同,使用Trojan.APT.BaneChant病毒进行的APT攻击同样分成两个阶段,第一个阶段先侦测环境,掩护自身,第二个阶段才会下载后门程序。
在第一个阶段里,一旦使用者下载恶意word文档,恶意软件不会立即执行,而是先分析该系统的运行环境,检测是否在沙箱(sandbox)或者自动化的病毒分析系统中运行,同时通过侦测鼠标点击频率来绕过沙箱分析,然后才进入第二个攻击阶段。
进入第二个阶段后,该恶意软件会自动解码一个URL网址,然后通过该链接下载一个伪装成。JPG图片文件的后门程序,下载成功后,该后门程序会自行复制成两一个名为GoogleUPdate.exe的文件,并存放在C:\ProgramData\Google2\文件夹下,通过这样的方式,让使用者以为该恶意文件是Google更新服务的一部分。另外,还会在用户启动文件夹内建立一该恶意文件的快捷方式,以确保每次计算机重新启动后都能执行该后门程序,以搜集并将资料回传至远程C&C服务器。
不仅如此,Trojan.APT.BaneChant还利用合法URL作为掩护,避免被侦测。距离来说,同样的方式也应用在第二阶段的攻击中,在下载恶意。JPG文件时,也会由合法网址导向恶意网站,通过这样的机制降低被侦测的机会。
Trojan.APT.BaneChant避免被侦测的能力还不仅于此,FireEye研究人员Rong Hwa指出,之前曾发现过一款木马程序通过侦测鼠标点击次数,确认是否处于沙盒环境中,但当时的恶意软件仅以单一次鼠标点击作为判断,而BaneChant则会等到鼠标至少点击3次后,才会下载后门程序,显然随着防御机制的提升,病毒也在不断地演进,越来越不容易被侦测出来。
赞赏
他的文章
- [转帖]韩国最大黑客攻击千台ATM机被黑事件调查报告直指朝鲜 1838
- [转帖]Linode遭黑客入侵 客户帐户信息泄露 1946
- [转帖]网络信息安全挑战大数据时代 1753
- [转帖]黑客组织匿名者再次侵入朝鲜网站 1885
- [转帖]如何对抗六大新兴网络安全威胁? 2287
看原图
赞赏
雪币:
留言: