Dridex木马使用前所未有的手段规避UAC

简介: 本文讲的是Dridex木马使用前所未有的手段规避UAC,Flashpoint安全研究人员警告:最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。

本文讲的是Dridex木马使用前所未有的手段规避UAC,Flashpoint安全研究人员警告:最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。

image

Dridex最先于2014年被发现,因其使用了 GameOver ZeuS (GoZ) 恶意软件点对点架构改进版来保护其命令与控制(C&C)服务器,而被认为是GoZ的继任者。Dridex作为最流行的银行木马家族冒头,但其最近的活动相比2014和2015年时的还是有所平缓。

最近观察到的Dridex活动比较小型,针对英国金融机构,采用了前所未见的UAC规避方法——利用Windows默认恢复光盘程序recdisc.exe。该恶意软件还被观测到通过伪装的SPP.dll来加载恶意代码,利用svchost和spoolsrv来与第一级C&C服务器和其他节点进行通信。

与其他恶意软件类似,Dridex通过带Word文档附件的垃圾邮件进行投送,附件中就隐藏有可下载并执行恶意软件的恶意宏。最先释放的模块用于下载主Dridex负载。感染后,该木马会从当前位置移动到%TEMP%文件夹。

恶意软件感染后,Dridex令牌抢夺和Web注入模块能使欺诈操作者快速获得搞定身份验证和授权问题所需的额外信息,让这些反欺诈系统和金融机构的安全措施毫无用武之地。黑客还能创建自定义的对话窗口,伪装成来自银行的调查,诱使受害者自己填入所需信息。

在被感染的机器上,Dridex利用Windows默认恢复光盘程序recdisc.exe,来加载伪造的SPP.dll,并绕过 Windows 7 的UAC防护。之所以能做到这一点,是因为该平台会自动提升该程序的权限,其他进入自动提升权限白名单的应用也有此待遇。Dridex利用了该特性来执行两条指令。

为绕过UAC,Dridex在WindowsSystem326886下创建目录,然后将合法的程序从WindowsSystem32recdisc.exe拷贝过来。接下来,将自身拷贝到%APPDATA%LocalTemp,以临时文件的形式存在,再拷贝成为WindowsSystem326886SPP.dll。然后,删除 WindowsSystem32下的 wu.exe和po.dll,执行recdisc.exe,以管理员权限将自身加载成 SPP.dll。

该银行木马会在4431-4433端口与其他节点通信。该案例中,其他对等节点就是Dridex已经控制了的其他计算机。

原文发布时间为: 二月 5, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/22692.html

相关文章
|
消息中间件 存储 数据库
RabbitMQ之MQ的可靠性
RabbitMQ之MQ的可靠性
275 0
教大家用 Python 绘制几棵圣诞树~
今天分享五种用 Python 绘制圣诞树的方法,从基础到高级,效果也不断攀升分为 1 到 5 五个 Level 水平;
教大家用 Python 绘制几棵圣诞树~
|
搜索推荐 Shell
idea如何Ctrl + F查找内容,当前文件内容,Ctrl+R全局替换C t r l + S h i f t + R
idea如何Ctrl + F查找内容,当前文件内容,Ctrl+R全局替换C t r l + S h i f t + R
|
机器学习/深度学习 数据采集 人工智能
【机器学习】CLIP模型在有限计算资源下的性能探究:从数据、架构到训练策略
【机器学习】CLIP模型在有限计算资源下的性能探究:从数据、架构到训练策略
718 0
|
数据采集 搜索推荐 安全
谷歌外链怎么做?
答案是:谷歌SEO可以做GPB外链。 外链是网站SEO优化的重要组成部分,尤其是在谷歌搜索引擎中。 合理的外链策略不仅可以提高网站的搜索引擎排名,还能增加网站的可信度和知名度。 以下是一些实用的方法和策略,用于在谷歌中有效建立外链。
359 0
谷歌外链怎么做?
|
小程序 JavaScript
微信小程序 tdesign图片上传组件 上传到服务器
微信小程序 tdesign图片上传组件 上传到服务器
|
网络协议 测试技术 开发工具
大学生学计算机科学或者软件工程,未来有哪些职业发展路径?
@[TOC](目录) 计算机科学和软件工程是大学中非常受欢迎的专业,这两个专业涉及到许多技术和领域,因此有很多职业发展路径可供选择。以下是超过 20 种职业选择及其对应的技能要求: # 1. 软件开发工程师: 掌握编程语言,如 Java、Python、C++ 等;熟练掌握软件开发工具和技术,如 IDE、版本控制工具、测试工具等;具备良好的代码编写和架构设计能力。 # 2. 计算机网络工程师: 熟悉网络协议和架构,如 TCP/IP、HTTP、HTTPS 等;掌握网络管理和监控工具,如 Wireshark、Nagios 等;具备良好的故障排除和问题解决能力。 # 3. 数据库管理员: 熟悉数据库
666 0
|
数据可视化 JavaScript 前端开发
Android自动生成代码,可视化脚手架之环境搭建
目前可视化工具采用的是Electron进行开发的,Electron 是一个使用 JavaScript、HTML 和 CSS 构建跨平台的桌面应用程序,它基于 Node.js 和 Chromium,被 Atom 编辑器和许多其他应用程序使用,也就是说使用Electron,您必须有一定的web开发经验,如果没有也没关系,后续您可以直接在我的模板中进行对应的修改即可,当然了,为了能够自己灵活的可视化,建议还是掌握一些Web的经验,编程语言之间的语法,基本互通,学起来也比较容易。
381 0
|
JavaScript API 容器
el-table两个表尾合计行联动同步滚动条代码
el-table两个表尾合计行联动同步滚动条代码
488 0
|
IDE 编译器 开发工具
【RT-Thread】env工具学习(更新中)
【RT-Thread】env工具学习(更新中)
782 0