手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

恶意软件ADOBE WORM FAKER:通过LOLBins来“订制”你的专属payload

来源:本站整理 作者:佚名 时间:2019-07-01 TAG: 我要投稿

摘要
Cybereason近期发现了一个有趣的恶意软件样本,并将之命名为Adobe Worm Faker,它是一类利用LOLBins进行攻击的蠕虫病毒,能够根据运行的机器动态地改变其行为,以便在每台目标机器上选择最佳的漏洞利用和payload。这种恶意软件潜在的破坏性风险特别高,且能够逃避AV和EDR产品,需要人工检测才能发现一些端倪。
Adobe Worm Fakerd的主要特点
· Adobe Worm Faker利用LOLBins进行攻击,并能根据所处的环境进行动态更改。
· 该恶意软件有五层混淆,无法被AV或EDR在内的安全产品自动解码,人工干预是解码它的必要条件。
· 它通过启动程序(acme .exe或wscript.exe)来保持隐藏以及完成后续的入侵工作。
· 该恶意软件能针对特定的AV产品,这表明可能存在基于区域的针对性攻击。
· 它使用类似蠕虫的技术来传播和隐藏自己,就好像与安全团队或用户玩捉迷藏一样。
安全建议
1、隔离机器以防止蠕虫在网络中传播。
2、杀死进程:Acroup.exe\ AcroDC.exe\ WScript.exe
3、如果仍驻留在计算机上,?#22659;?#20197;下文件二进制文件:
· %SYSTEMDRIVE%\Adobe Acrobat\Notebook.pdf, AcroDC.exe, AcroUP.exe
· %SYSTEMDRIVE%\Acrobat\Notebook.pdf, AcroDC.exe, AcroUP.exe
· %SYSTEMDRIVE%\DCIM.lnk
· %SYSTEMDRIVE%\Camera.lnk
· %SYSTEMDRIVE%\Users\All Users\Microsoft\Windows\Start Menu\Programs\StartUp
· %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUp.lnk
· %ProgramData%\Microsoft\Microsoft\Windows\Start Menu\Programs\Startup\AdobeUp.lnk
4、?#22659;?#20197;下注册表项来阻止恶意软件的持久性:
· HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AcroDC
· HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AcroDC
· HKCU\Software\AcroDC
· HKCU\Software\Itime
· HKCU\Software\info
5、重新创建注册表字符串值:HKCR\lnkfile\isShortcut
6、将以下域名和IP地址添加到组织FW、代理、Web过滤和邮件过滤的选项中:
· simone.linkpc[.]net
· oahm.duckdns[.]org
· hlem.myq-see[.]com
· 41.105.50[.]134
· 105.98.9[.]222
7、对受感染的移动设备进行格?#20132;?br/> 介绍
攻击者利用Windows操作系统中内置的合法工具进行恶意攻击的方式已经不是什么新鲜事了。LOLBAS(Living Off The Land Binaries and Scripts)和LOLBins都是本机Windows工具,对它们的恶意使用,使得攻击更难以通过传统的安全措施来捕获,即使发现了也很难阻止。
使用lolbin进行攻击的优势在于,如果目标组织不能彻底了解他们的系统及功能,就很可能不会注意这类方式的入侵,相对来说,高级攻击反而更能引起注意。
最近,一个利用LOLBins的恶意软件引起了我们的注意——我们将其称为“Adobe Worm Faker”。感染链始于一个zip文件,通过移动设备传送到用户的计算机。恶意zip文件包含一个启动程序(带有Adobe Acrobat Reader图标,以诱使用户信任)和一个恶意脚本。
在使用Adobe Worm Faker进行攻击时,攻击者能窃取目标计算机的数据,再根据机器及环境设计更为复杂的攻击。这种高级攻击特别危险,因为它专门针对目标机器所特有的弱点进行攻击,从而大大增加了对组织造成破坏的可能性。
在最近的一个案例中,我们发现Adobe Worm Faker恶意软件会检查目标系统是否存在特定的USB相关安全产品。当找到与这些产品相关联的文件时,恶意软件会终止其进程并?#22659;?#25991;件,以便它可以继续畅通无阻地运行。
传统的安全措施并不总能识别合法Windows工具的恶意/非恶意使用,这里就需要经验丰富的安全分析师进行人为分析。
利用LOLBins的攻击事件在增加
今年以来,Cybereason发现恶意滥用本地Windows OS进程的事件呈现?#26412;?#22686;加的态势,而传统安全措施对LOLBins攻击的可见性较为有限,因为攻击者往往会利用合法的Windows进程,如PowerShell,WMI,BITSAdmin?#21462;?#36825;类“盲区”使得攻击者可以偷?#24471;?#25720;地进行操作,在充分了解受感染计算机的特性后发起更有针对性的攻击。对于一些组织来说,LOLBins攻击可能是致命的。
攻击者可以使用LOLBins远程访问设备、泄露数据、执行代码、下载文件、转储进程、键盘记录?#21462;H欢?#36825;只是攻击的第一阶?#21361;?#25509;下来的高级攻击才是专门针对机器弱点进行的,目的是进行横向移动,窃取客户信息、财务数据、密码、知识产权或攻击者想要的任何东西。
难以找到,难以补救
我们在对恶意样本分析后了解到,恶意VB代码是通过wscript实用程序之类的合法工具来执行的,机器信息则是通过WQL (WMI查询语言)滥用WMI任务来查询。此样本还刻意针对了两个与USB相关的安全产品——SMADAV和USB Disk Security,最终目标是根据受感染的机器的信息以下载payload。这两个USB安全产品也许能够反映出恶意软件所针对的地理区域。
添加额外payload的功能尤其危险。Adobe Worm Faker与多个地址通信,将信息发送给C2服务器,再将payload传回。
Adobe Worm Faker使用了一种独特的技术——利用Visual Basic函数完成payload从远程恶意地址传递到目标。Visual Basic是一种安装在Windows系统中的内置语言,被恶意使用时,它为攻击者提供了一个关键优势,即它没有依赖关系,因此恶意代码可以毫无阻碍地运行。
一旦攻击者获得了机器的敏?#34892;?#24687;(例如操作系统版本,补丁更新,硬件规格等),就可以创建自定义恶意软件,为下一次攻击制定更复杂的攻击。
ADOBE WORM FAKER的独特之处
Adobe Worm Faker由两个组件构成,具有独特的特性,可与其他恶意软件区分开来:
· 启动程序(Acroup \ AcroDC.exe)。
· 恶意伪PDF文件(Notebook.pdf)。
特点:
· Adobe Worm Faker使用了自定义的wscript工具Acroup\AcroDC.exe,类似于Windows的wscript。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)?#31363;?#27492;文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        巨人财富 魔光幻音电子游艺 福建31选7几点开奖 天津麻将 单机 2019以太坊价格预测 超级战队五骑士百度云 切尔西逆转那不勒斯 塔什干火车头与艾尔伟大 分分彩技巧想输都难 彩经网彩票走势图大全