热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

新版Separ恶意软件攻击感染全球数百家企业

来源:MottoIN 2019.02.25

 

 

新版Separ恶意软件攻击感染全球数百家企业

 

网络安全公司Deep Instinct的研究人员Guy Propper近期发现了一场正在进行的网络钓鱼活动,其针对全球数百家企业利用简单而有效的恶意软件窃取其电子邮件和浏览器凭据。据悉,攻击行为者使用的恶意PDF文档来传播Separ恶意软件。

 

新版Separ恶意软件攻击感染全球数百家企业
 
 

自2019年1月底开始以来,它已经影响了200多家公司1000多名个人,受害者主要集中在东南亚、中东和北美地区。另外,据研究人员称,幕后攻击行为者每天都会上传其窃取的数据。

该攻击活动之所以能够“顺利进行”,原因在于Separ恶意软件幕后的凭证窃取者采用了规避检测的简单但危险的策略:综合利用合法可执行文件和短脚本。

研究人员表示,早在2017年11月就已经存在早期的Separ变种,相关的信息窃取者在2013年就开始活跃。

此次攻击活动的攻击行为者于众不同之处在于,他使用了一种行之有效的技术——离地攻击(living off the land)。黑客们过去曾使用这种流行的策略来发起基于合法文件的攻击。这些合法文件要么在受攻击组织内很常见,要么就是广泛存在的管理工具,它们可能被攻击者滥用以执行各种恶意功能。

 

新版Separ恶意软件攻击感染全球数百家企业
 
 

就Separ而言,这意味着攻击者使用短脚本、批处理文件以及合法的可执行文件来执行其所有的恶意程序。下面将详细介绍这些合法的可执行文件,包括SecurityXploded提供的浏览器密码和电子邮件密码转储工具,以及NcFTP的软件。

攻击流程

攻击始于一封附有恶意附件的网络钓鱼电子邮件——本案例,恶意附件是一个诱饵PDF文档,伪造成一个可以自解压可执行文件。据研究人员称,虚假文件涉及报价、货运和设备规格,他们因此推测攻击似乎针对的是企业组织。

一旦受害者点击附加的“PDF文档”,自解压工具就会调用wscript.exe来运行名为adobel.vbs的Visual Basic脚本(VB脚本)。

VB脚本开始运行后,它会执行一系列具有各种恶意功能的批处理脚本。研究人员表示,这些脚本伪装成虚假的Adobe相关程序,可以明显看到恶意脚本和可执行文件的名称与Adobe相关程序相似:

“自解压工具本身包含攻击中能够利用的所有文件:一个VB脚本,两个批处理脚本和四个可执行文件,分别名为:adobel.vbs、adob01.bat、adob02.bat、adobepdf.exe、adobepdf2.exe、ancp.exe和Areada.exe。”

 

新版Separ恶意软件攻击感染全球数百家企业
 
 

VB脚本运行的第一个批处理脚本adob01.bat

 

 

新版Separ恶意软件攻击感染全球数百家企业

 

 

攻击流程

这些脚本执行一系列恶意功能,包括更改系统的防火墙设置,以及窃取其所有电子邮件和浏览器凭据。同时,恶意软件还会打开一个空的诱饵.jpg图像,以隐藏其活动。

为了窃取凭据,Separ使用SecurityXploded提供的密码转储工具。存在于初始自解压工具中的SecurityXploded会收集各种用户凭据并将其上载到托管服务中。

有趣的是,此恶意软件使用文件传输协议(FTP)客户端将其窃取的数据上传到名为freehostia[.]com的合法服务器。这项可执行文件和服务器都是合法的,研究人员说:ancp.exe的来源是一个真实的FTP软件提供商(NcFTP),而FreeHostia是一项众所周知且广泛使用的托管服务。

在多次访问FTP服务器后,研究人员还发现受害者人数一直在明显增长,这意味着攻击正在持续进行并成功感染了更多受害者。“虽然Separ恶意软件使用的攻击原理非常简单,攻击者也没有试图逃避分析,但受此影响的受害者数量一直持续增多,这表明这种简单的攻击非常有效,”Guy Propper说道。

 

参考:http://www.mottoin.com/news/134552.html

售前支持

400-161-0866