本文讲的是 恶意软件“八月”利用powershell进行无文件感染,Proofpoint安全研究专家提醒,一种叫做“八月”(August)的新型窃取信息恶意软件正利用Windows powershell脚本进行无文件感染并通过Word文档传播。
这个恶意软件是由高度个性化的TA530为载体来传播的,研究者表示,“八月”传播的目标是零售商的客服、管理人员,窃取目标计算机当中的认证信息与敏感文件。
为了保证感染成功,攻击者会在邮件标题中会提到目标公司网站购物问题的参考信息。这些邮件是针对那些可以帮助解决此类问题的员工发出的,于是这些员工有很大可能性会打开内含问题描述的附件去帮助客户解决问题。
然而,一旦收件人打开这个文档,他们就可能会启用宏,并开启powershell命令在本地下载安装‘八月’。此恶意数据是从作为远程网站的powershell字节数组与通过XOR操作的几行反混淆代码下载的。
安全研究专家提醒本次传播中使用的宏指令与ursnif银行木马传播中用的很相似。他们都是意图添加沙箱逃逸技术并通过执行Maxmind,task counts,task names和recent file counts来进行传播。
‘八月’信息盗取软件是作者用.net语言编写并使用Confuser混淆完成的。通过对一个具体样本的源代码检查,Proofpoint研究专家发现它可以窃取或上载有具体扩展名的文档到命令控制服务器,还可以窃取.rdp、wallet.dat文件及包括Electrum,Bither在内的加密数字货币钱包。除此之外,还能够确认类似Wireshark,Fiddler等安全工具是否装载在本地。
除此之外,这个恶意软件还能从FTP应用(例如SmartFTP,FileZilla,TotalCommander,WinSCP,CoreFTP)和通讯应用(Pidgin,PSI,LiveMessenger,及其他)中获取认证信息;能够从Firefox,Chrome,Thunderbird,Outlook中收集cookies和密码;能够通过硬件ID、OS name,victim’s username与命令控制服务器实现交互;能够用base64对网络数据进行加密,字符置换,添加随机密钥(使用加密的用户代理字段传递给服务器)还能修改字符串。
“‘八月’可以在多种情况下大范围窃取认证信息和文件,这种恶意软件本身经过混淆编码,其用来传播的宏指令使用了一系列逃逸技术和一种无文件方式通过Powershell来装载。所有的这些因素增加了从网关和端口探测这一软件的难度。” Poofpoint专家表示。
鉴于网络罪犯使用日益复杂和高度个人化的邮件作为诱饵,企业应使用邮件网关过滤那些内含沙箱逃逸技术在内的宏指令来进行防护,同时应该考虑向员工进行培训:对那些看似正常实则充满陷阱的邮件保持警惕。
原文发布时间为:十二月 12, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/threat-alert/21654.html
