50岁退休熟女露脸高潮,免费观看又色又爽又黄的校园剧,乱码av麻豆丝袜熟女系列,大地影视mv高清视频在线观看 ,人摸人人人澡人人超碰手机版

?
股票代碼:688225
打開(kāi)微信“掃一掃”,開(kāi)啟安全數(shù)字世界之旅
截圖或長(zhǎng)按保存至相冊(cè),使用微信掃一掃
首頁(yè) > 關(guān)于我們 > 企業(yè)新聞

新聞與活動(dòng)

亞信安全最新資訊與活動(dòng)。

【安全通告】Agent Tesla新型間諜木馬來(lái)襲,竟偽裝成PDF文檔
發(fā)布時(shí)間 :2021年03月02日
類(lèi)型 :勒索軟件
分享:

安全通告


近日,亞信安全截獲了Agent Tesla間諜木馬最新變種文件,其也被稱(chēng)為NEGASTEAL。本次截獲的變種文件將自身偽裝成PDF文檔,作為郵件附件通過(guò)釣魚(yú)郵件進(jìn)行傳播。其利用社會(huì)工程學(xué)誘騙用戶(hù)點(diǎn)擊附件的PDF文件,其實(shí)際上是EXE可執(zhí)行文件。查看反編譯程序,我們發(fā)現(xiàn)其看起來(lái)像游戲小程序,實(shí)際上,該程序在隱蔽的位置偷偷加載了一個(gè)惡意模塊,亞信安全將其命名為T(mén)rojanSpy.MSIL.NEGASTEAL.DYSHPF。



1.jpg


攻擊流程



2.jpg



病毒詳細(xì)分析



偽裝自身

病毒更改程序圖標(biāo)試圖將自身偽裝成PDF文件,通過(guò)查看擴(kuò)展名發(fā)現(xiàn)其實(shí)際上是EXE可執(zhí)行文件。


3.jpg


 

反編譯程序后,我們發(fā)現(xiàn)該病毒類(lèi)似于小游戲程序,實(shí)際上,程序在隱蔽的位置偷偷加載了一個(gè)惡意模塊。

4.jpg


5.jpg



Unknown模塊


該模塊載入了父進(jìn)程中的一個(gè)資源:


6.jpg


經(jīng)過(guò)一系列解密操作后得到一個(gè)PE可執(zhí)行文件,并保存到array變量中。


7.jpg



Array Pe 文件


將該P(yáng)e文件Dump出來(lái)繼續(xù)分析,觀察該文件的函數(shù)列表,發(fā)現(xiàn)其導(dǎo)入了幾個(gè)Win32Api函數(shù),如下圖所示:


8.jpg



通過(guò)進(jìn)一步分析,我能發(fā)現(xiàn)其使用了用戶(hù)模式注入技術(shù)執(zhí)行Payload,我們將Payload Dump出來(lái)做進(jìn)一步分析。


CreateProcess()創(chuàng)建一個(gè)進(jìn)程。

GetThreadContext()讀取進(jìn)程線程的上下文標(biāo)志。

VirtualAllocEx()進(jìn)程中申請(qǐng)內(nèi)存空間存放Payload。

WriteProcessMemory()將Payload數(shù)據(jù)寫(xiě)入申請(qǐng)的進(jìn)程空間中。

SetThreadContext()告訴進(jìn)程線程Payload從哪里開(kāi)始執(zhí)行。

ResumeThread()恢復(fù)線程執(zhí)行。


9.jpg

10.jpg



【DDAn檢測(cè)截圖】


Payload


?收集瀏覽器用戶(hù)信息(瀏覽器上保存的密碼)。


"Brave"

@"C:\Users\USER\AppData\Local\BraveSoftware\Brave-Browser\User Data"


"CentBrowser"

@"C:\Users\USER\AppData\Local\CentBrowser\User Data"


"Chromium"

@"C:\Users\USER\AppData\Local\Chromium\User Data"


"Uran"

@"C:\Users\USER\AppData\Local\uCozMedia\Uran\User Data"


"Coccoc"

@"C:\Users\USER\AppData\Local\CocCoc\Browser\User Data"


"Epic Privacy"

@"C:\Users\USER\AppData\Local\Epic Privacy Browser\User Data"


"7Star"

@"C:\Users\USER\AppData\Local\7Star\7Star\User Data"


"Kometa"

@"C:\Users\USER\AppData\Local\Kometa\User Data"


"Vivaldi"

@"C:\Users\USER\AppData\Local\Vivaldi\User Data"


"Sputnik"

@"C:\Users\USER\AppData\Local\Sputnik\Sputnik\User Data"


"Cool Novo"

@"C:\Users\USER\AppData\Local\MapleStudio\ChromePlus\User Data"


"Sleipnir 6"

@"C:\Users\USER\AppData\Local\Fenrir Inc\Sleipnir5\setting\modules\ChromiumViewer"


"QIP Surf"

@"C:\Users\USER\AppData\Local\QIP Surf\User Data"


"Comodo Dragon"

@"C:\Users\USER\AppData\Local\Comodo\Dragon\User Data"


"Orbitum"

@"C:\Users\USER\AppData\Local\Orbitum\User Data"


"360 Browser"

@"C:\Users\USER\AppData\Local\360Chrome\Chrome\User Data"


"Liebao Browser"

@"C:\Users\USER\AppData\Local\liebao\User Data"


"Opera Browser"

@"C:\Users\USER\AppData\Roaming\Opera Software\Opera Stable"


"Citrio"

@"C:\Users\USER\AppData\Local\CatalinaGroup\Citrio\User Data"


"Elements Browser"

@"C:\Users\USER\AppData\Local\Elements Browser\User Data"


"Chedot"

@"C:\Users\USER\AppData\Local\Chedot\User Data"


"Amigo"

@"C:\Users\USER\AppData\Local\Amigo\User Data"


"Torch Browser"

@"C:\Users\USER\AppData\Local\Torch\User Data"


"Yandex Browser"

@"C:\Users\USER\AppData\Local\Yandex\YandexBrowser\User Data"


"Iridium Browser"

@"C:\Users\USER\AppData\Local\Iridium\User Data"


"Coowon"

@"C:\Users\USER\AppData\Local\Coowon\Coowon\User Data"


11.jpg


?收集PopPassword和SmtpPassword。


12.jpg


?收集Psi+軟件的配置信息。


13.jpg

 

?收集Trillian及時(shí)通訊軟件的用戶(hù)信息。


14.jpg



?收集Pocomail的用戶(hù)信息。


15.jpg



?收集FoxMail相關(guān)信息。


16.jpg


?收集k-meleon瀏覽器相關(guān)信息。


17.jpg


?收集OpenVPN相關(guān)配置信息。


18.jpg


?收集Filezilla服務(wù)器配置信息。


19.jpg



?收集thunderbird相關(guān)信息。


20.jpg



?收集UCBrowser信息。


21.jpg


 

?收集Mozilla SeaMonkey軟件配置信息。


22.jpg



?收集QQBrowser瀏覽器信息。


23.jpg



?收集RealVNC,TightVNC,UltraVNC遠(yuǎn)程控制軟件的配置。


24.jpg

25.jpg


?收集SmartFTP配置信息。


26.jpg


?收集FlashFXP配置信息。


27.jpg


?收集Claws-mail相關(guān)信息。


28.jpg


 

?收集如下信息:


@"C:\Users\USER\AppData\Roaming\CoreFTP\sites.idx"

@"C:\Users\USER\AppData\Roaming\Comodo\IceDragon\"

{C:\Users\USER\AppData\Local\NordVPN}

@"C:\FTP Navigator\Ftplist.txt"

@"C:\Users\USER\AppData\Roaming\Moonchild Productions\Pale Moon\"

@"C:\Users\USER\AppData\Roaming\Mozilla\Firefox\"

@"C:\Users\USER\AppData\Roaming\Flock\Browser\"

@"C:\Users\USER\AppData\Local\Mailbird\Store\Store.db"

@"C:\Users\USER\AppData\Roaming\8pecxstudios\Cyberfox\"

@"C:\Users\USER\AppData\Roaming\Postbox\"

@"C:\Users\USER\AppData\Roaming\Apple Computer\Preferences\keychain.plist"

@"C:\Users\USER\AppData\Roaming\eM Client\accounts.dat"


29.jpg



整合收集到的信息,通過(guò)郵件將收集到的信息發(fā)送給Hacker。


30.jpg


31.jpg


亞信安全產(chǎn)品解決方案


亞信安全病毒碼版本16.559.60,云病毒碼版本16.559.71,全球碼版本16.561.00已經(jīng)可以檢測(cè),請(qǐng)用戶(hù)及時(shí)升級(jí)病毒碼版本;

惡意URL已經(jīng)可以被web信譽(yù)攔截;

亞信安全DDAn已經(jīng)可以檢測(cè)該病毒。


安全建議


打開(kāi)系統(tǒng)自動(dòng)更新,并檢測(cè)更新進(jìn)行安裝;


請(qǐng)到正規(guī)網(wǎng)站下載程序;


不要點(diǎn)擊來(lái)源不明的郵件以及附件,郵件中包含的鏈接;


采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼;


盡量關(guān)閉不必要的端口及網(wǎng)絡(luò)共享;


請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則,即至少做三個(gè)副本,用兩種不同格式保存,并將副本放在異地存儲(chǔ)。



IOCs

32.jpg


上一篇:亞信安全發(fā)布《2020年度安全威脅回顧及預(yù)測(cè)》,“熱詞”背后藏匿極大風(fēng)險(xiǎn)

下一篇:“社工”郵件再爆雷,BEC攻擊如何有效防范?

返回列表
分享到微信
X