【文章摘要】APT攻击愈演愈烈，继前不久韩国被攻击事件之后，FireEye最近又发现一款新的APT病毒Trojan.APT.BaneChant，在Email中夹带恶意word文档（文件名为IsIamic Jihad.doc）作为传播途径。根据文件名推测，主要攻击目标可能是中东和中亚的政府机构。
　　APT攻击愈演愈烈，继前不久韩国被攻击事件之后，FireEye最近又发现一款新的APT病毒Trojan.APT.BaneChant，在Email中夹带恶意word文档（文件名为IsIamic Jihad.doc）作为传播途径。根据文件名推测，主要攻击目标可能是中东和中亚的政府机构。
　　与一般的APT攻击模式相同，使用Trojan.APT.BaneChant病毒进行的APT攻击同样分成两个阶段，第一个阶段先侦测环境，掩护自身，第二个阶段才会下载后门程序。
　　在第一个阶段里，一旦使用者下载恶意word文档，恶意软件不会立即执行，而是先分析该系统的运行环境，检测是否在沙箱（sandbox）或者自动化的病毒分析系统中运行，同时通过侦测鼠标点击频率来绕过沙箱分析，然后才进入第二个攻击阶段。
　　进入第二个阶段后，该恶意软件会自动解码一个URL网址，然后通过该链接下载一个伪装成。JPG图片文件的后门程序，下载成功后，该后门程序会自行复制成两一个名为GoogleUPdate.exe的文件，并存放在C:\ProgramData\Google2\文件夹下，通过这样的方式，让使用者以为该恶意文件是Google更新服务的一部分。另外，还会在用户启动文件夹内建立一该恶意文件的快捷方式，以确保每次计算机重新启动后都能执行该后门程序，以搜集并将资料回传至远程C&C服务器。
　　不仅如此，Trojan.APT.BaneChant还利用合法URL作为掩护，避免被侦测。距离来说，同样的方式也应用在第二阶段的攻击中，在下载恶意。JPG文件时，也会由合法网址导向恶意网站，通过这样的机制降低被侦测的机会。
　　Trojan.APT.BaneChant避免被侦测的能力还不仅于此，FireEye研究人员Rong Hwa指出，之前曾发现过一款木马程序通过侦测鼠标点击次数，确认是否处于沙盒环境中，但当时的恶意软件仅以单一次鼠标点击作为判断，而BaneChant则会等到鼠标至少点击3次后，才会下载后门程序，显然随着防御机制的提升，病毒也在不断地演进，越来越不容易被侦测出来。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！