本文讲的是复杂高端木马USB窃贼出现,ESET 公司的研究人员最近发现了一种复杂的 USB 木马,它可以悄然窃取受害系统上的数据,不会留下痕迹。此外,它还带有一种保护机制,使自身难以被检测、复制、分析。
ESET 公司将这种木马命名为 USB Thief(USB窃贼) 。与一般 USB 木马家族的不同之处在于,恶意软件拷贝和 U 盘之间是一一对应的。
一般 USB 病毒利用自运行和快捷方式文件运行,USB窃贼则依赖于一个现状:用户经常会在 U 盘上存储移动版的 Firefox 、 NotePad++ 和其它常见应用。
ESET 表示,这种恶意软件会通过伪装成插件或 DLL 文件,将自身注入到这类应用的运行链条中。
ESET 称,这种恶意软件会伪装成插件或 DLL 文件,将自身注入到这类应用的运行链条中。当用户执行应用程序时,也会让木马开始在后台运行。
这种恶意软件拥有六种组件:四个可执行程序和两个配置文件。
为了保证自身不被从 U 盘中拷贝出来,遭到反向工程,有些 USB Thief 的文件使用 USB 设备本身的 ID 和几种磁盘属性作为 AES 密钥,进行了加密。感染的每个阶段,执行文件程序的名称都会有所变化,因为它们是基于文件内容和创建时间生成的。
这一机制能够确保其自身不会在攻击者植入病毒的 USB 存储器之外的其它设备上运行,阻碍研究人员分析。
第一阶段的加载器负责借助移动版应用执行该木马,并检查 USB 设备是否被设为可读状态,以确定能否将窃取到的信息存在 U 盘上。
第二阶段,加载器校验母进程的名称,确保自身不在分析环境中执行,第三阶段,加载器检查是否存在反病毒软件。
最后一个攻击载荷会被注入到新建立的进程中,以窃取受感染设备的信息,包括图片、文档、Windows 注册表树、所有可用存储器的文件列表、WinAudit(一种 Windows 库存模块)收集到的数据。恶意软件会使用椭圆曲线加密算法对偷到的信息进行加密,并存储在 U 盘上。
由于恶意软件是在 U盘上执行的,感染不会在目标设备上留下任何痕迹。ESET 专家认为这种威胁是入侵物理隔绝系统的绝佳手段。
由于带有一些独到的特性,这种恶意软件非常特殊。不过,主流的网络安全措施还是能够防护它的。最重要的是,只要有可能,就应该禁用 USB 端口;如果做不到,应当部署严格的策略,限制其使用。对公司各岗位员工进行网络安全培训是相当可取的措施,如果可能,还应该增加实地测试。
USB Thief 并不是 ESET 分析过的唯一一种 U 盘病毒。ESET 还分析过 Pawn Storm 、 APT28 、 Sednit 等小组用于入侵物理隔离网络的工具。
原文发布时间为:三月 25, 2016
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/14551.html
