天创培训:您身旁的信息安全培训专家!金莎网站
www.jsh2288.com
澳门金莎国际娱乐
栏目列表
开班方案
主讲教师   张教师、王教师等
开课工夫   2019年1月8日-13日
培训方法   实地/面授
讲课天次   培训5天+测验半天
上课工夫   09:00 -- 16:30
澳门金沙4166.am
最新更新
行业动态您当前位置: >  > 

应战晋级:Necurs僵尸网络利用Web查询文件IQY躲避安全检测

作者:天创培训  滥觞:px.tcnet.com.cn  更新工夫:2018-06-27  关键词:

金莎网站

Necurs 是全球最大的垃圾邮件僵尸网络,由数百万受传染的计算机构成,曾用于分散 Locky、GlobeImposter Trickbot 等多个歹意软件。4月研究人员发明Necurs的操纵者利用新技术躲避检测——向受害者发送含有紧缩包的邮件,解压后呈现扩大名为 .URL 的文件,这些文件将操纵服务器动静块(SMB)和谈从长途服务器施行有用负载,从而胜利地避开某些垃圾邮件过滤器。“道高一尺,魔高一丈”,近来趋向科技发明Necurs的作者在被发明后对躲避办法仿佛停止了晋级。

这一次,来自僵尸网络的新一轮垃圾邮件利用Web查询文件IQY来躲避检测。具有特定格局的文本文件IQY文件许可用户从内部源导入数据到Excel电子表格中,而且Windows会在Excel中主动施行它们。

澳门金沙4166.am

图1.有IQY附件的电子邮件

趋向科技表露,Necurs利用IQY文件附件的垃圾邮件的主题和文件名包罗与促销、优惠和扣头等相干辞汇。一旦施行,IQY文件将查询其代码中唆使的URL,这会招致数据从目的网址被拉到Excel事情表中。而获得的数据包罗滥用Excel静态数据交流(DDE)功用的剧本,以施行命令行并启动PowerShell历程。经由过程此历程,长途PowerShell剧本在目的体系上无文件地施行。该剧本旨在下载可执行文件,特洛伊木马长途会见应用程序及其终极有用载荷:FlawedAMMYY后门法式。该歹意软件应该是利用Ammyy Admin长途会见特洛伊木马的走漏代码构建的。作为近来的进犯的一部分,剧本会在终极的有用载荷之前下载一个图像文件。安全研究人员说,这张图片是一个假装的歹意软件下载法式,用于获得包罗不异次要后门例程的加密组件文件。

www.jsh2288.com

图2.以附件IQY文件开端的传染链

FlawedAMMYY设想用于施行长途歹意服务器的一系列号令,包罗文件管理器,视图屏幕,长途掌握,音频谈天,RDP SessionsService  -安装/启动/截至/删除禁用桌面背景,禁用桌面组合,禁用视觉效果以及显现东西提醒鼠标光标闪灼的缘故原由。

在Necurs中增加这一新的躲避层将带来新的应战,由于web查询凡是以明文文件的情势呈现,这使得所附的IQY文件的URL成为歹意软件活动的唯一唆使。另外,它的构造与一般的Web查询不异。因而,一种能够阻遏歹意url的安全解决方案才能够抵抗这类要挟。

为了抵抗这些要挟,严厉的安全和谈和最好理论至关重要。另外,因为这是已知的进犯序言,用户在施行IQY文件附件时会收到两条正告动静,假如留意这些正告则能够阻遏传染。



0

上一篇:

推荐浏览

 |   |   |   |   |   | 
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
姑苏总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000