黑基网 首页 学院 网络安全 查看内容

如何利用U盘传送恶意软件实施无文件攻击

2017-9-2 00:36| 投稿: xiaotiger |来自: 互联网

摘要: E安全9月1日讯 趋势科技8月初分析了无文件后门 JS_POWMET,攻击分子使用JS_POWMET.DE(滥用了各种合法功能的脚本)在目标系统上以无文件形式安装后门BKDR_ANDROM.ETIN。起初,趋势科技并不清楚威胁如何到达目标设备 ...

E安全9月1日讯 趋势科技8月初分析了无文件后门 JS_POWMET,攻击分子使用JS_POWMET.DE(滥用了各种合法功能的脚本)在目标系统上以无文件形式安装后门BKDR_ANDROM.ETIN。

起初,趋势科技并不清楚威胁如何到达目标设备,研究人员当时猜想是用户下载或由其它恶意软件丢给目标设备。

最近,趋势科技研究发现之前的猜想是错误的,JS_POWMET竟然是通过U盘感染目标。

无文件后门 JS_POWMET技术细节

U盘包含两个恶意文件( 趋势科技检测为TROJ_ANDROM.SVN),如下:

  • addddddadadaaddaaddaaaadadddddaddadaaaaadaddaa.addddddadadaaddaaddaaaadadddddadda

  • IndexerVolumeGuid

U盘中的autorun.inf 文件可能被修改运行上述第一个文件,该文件能解密第二个文件的内容,这两个文件之后载入内存运行。解密器的文件名充当该实例中的加密密钥,被感染系统上实际并未保存文件。

解密代码负责创建自动启动注册表项。趋势科技指出,感染的最终结果是安装后门BKDR_ANDROM.ETIN

感染链

研究人员强调了两点。

第一,Windows版本不同,过程会有差异,Windows 10的过程相对简单:创建注册表项,下载并在被感染系统上执行后门。然而Windows 10之前的Windows版本会多一个步骤:第二个后门(趋势科技检测为BKDR_ANDROM.SMRA)会丢在 %AppData%文件夹中,其文件名为ee{8 random characters}.exe,同时还会在用户启动文件夹中创建快捷方式,确保第二个后门自动执行。

第二,创建的注册表项中包含的URL不同:其中一个URL用于Windows 10,而另一个用于Windows 10之前的版本。虽然研究人员未发现实际行为有任何不同之处,但攻击者可能会根据用户的操作系统发起不同的攻击。

目前尚不清楚第二个后门安装相对简单的原因,有可能是为了转移注意力,因为相比第一个无文件后门,研究人员或用户更容易发现第二个后门,然而移除第二个后门可能会让第一个更隐秘的无文件威胁不易被发现。

此类攻击相关的SHA-256哈希如下:

  • 24bc305961cf033f78bc1a162c41a7c1a53836a6ccbb197a5669b5f8a9f5251d

  • 89dd71692bce3bb51a053570eb87fb5a9b5e1513fc1741f51b785e1137bd3cd1

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/i6460625521477681678/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部