曲速未來 消息:重新開發(fā)新技術(shù)利用鏈保持防病毒無聲區(qū)塊鏈
曲速未來消息:在新的惡意軟件活動(dòng)中,網(wǎng)絡(luò)犯罪分子修改了一個(gè)已知的漏洞利用鏈,以推動(dòng)AgentTesla信息竊取程序,而不會(huì)觸發(fā)常見防病毒產(chǎn)品的檢測(cè)。
區(qū)塊鏈安全咨詢公司 曲速未來 消息:在新的惡意軟件活動(dòng)中,網(wǎng)絡(luò)犯罪分子修改了一個(gè)已知的漏洞利用鏈,以推動(dòng)Agent Tesla信息竊取程序,而不會(huì)觸發(fā)常見防病毒產(chǎn)品的檢測(cè)。
網(wǎng)絡(luò)犯罪分子設(shè)置了一個(gè)基礎(chǔ)架構(gòu),通過針對(duì)Microsoft Word漏洞CVE-2017-0199和CVE-2017-11882的兩個(gè)公共漏洞來交付多個(gè)惡意軟件系列。
旨在消除一堆惡意軟件
根據(jù)Cisco Talos的分析師的說法,該活動(dòng)旨在至少減少三個(gè)有效載荷:特工Tesla,Loki和Gamarue。所有這些都能夠竊取信息,而且只有Loki缺乏遠(yuǎn)程訪問功能。
攻擊以包含Word文檔(DOCX)的電子郵件開始,該文檔包括用于下載和打開RTF文件的例程,該文件提供最終的有效負(fù)載。這個(gè)RTF沒有被注意到。
58個(gè)防病毒程序中只有兩個(gè)發(fā)現(xiàn)任何可疑的東西。標(biāo)記此樣本的程序僅警告格式錯(cuò)誤的RTF文件.AhnLab-V3將其標(biāo)記為'RTF / Malform-A.Gen',而Zoner表示可能標(biāo)志為'RTFBadVersion',“研究人員今天在一份報(bào)告中寫道。
防病毒規(guī)避的變化
研究人員表示,對(duì)漏洞鏈進(jìn)行的修改使包含下載惡意軟件程序的文檔無法被常規(guī)防病毒解決方案檢測(cè)到。
有效載荷丟棄鉆取的秘密依賴于RTF文件格式的特殊性,它支持通過OLE(對(duì)象鏈接和嵌入)嵌入對(duì)象,并使用大量控制字來定義它所擁有的內(nèi)容。
除此之外,常見的RTF解析器通常會(huì)忽略它們不知道的內(nèi)容,結(jié)果是隱藏漏洞利用代碼的完美組合。在這種情況下,用戶不必更改Microsoft Word的設(shè)置或單擊任何內(nèi)容來觸發(fā)漏洞利用。
RTF與OLE對(duì)象的控制字
RTF文件結(jié)構(gòu)中的混淆并不是唯一有助于文檔未被檢測(cè)到的東西。更深入的分析顯示攻擊者更改了OLE Object頭的值。
在標(biāo)題之后,他們添加了關(guān)于看起來像字體標(biāo)記的數(shù)據(jù),但結(jié)果證明它是Microsoft Office中CVE-2017-11882內(nèi)存損壞漏洞的漏洞。
修改了標(biāo)題信息
研究人員表示,無論手動(dòng)修改還是使用工具進(jìn)行修改,該技術(shù)都是危險(xiǎn)的。這些更改處于較低級(jí)別,并使一切看起來不同,但它使用的漏洞代碼已在其他廣告系列中看到過。
惡意軟件功能
區(qū)塊鏈安全咨詢公司 曲速未來 提醒:特斯拉特工被稱為“復(fù)雜的信息竊取木馬”,作為合法的鍵盤記錄實(shí)用程序銷售。然而,研究人員質(zhì)疑該工具的合法功能,稱它具有25種常見應(yīng)用程序的密碼竊取功能,如流行的Web瀏覽器,電子郵件和FTP客戶端。
Loki惡意軟件嚴(yán)格屬于信息竊取類別,希望獲取密碼。它經(jīng)常被廣告宣傳,它的描述補(bǔ)充說它也可以針對(duì)加密貨幣錢包。
至于Gamarue系列威脅,它在為僵尸網(wǎng)絡(luò)牧民提供新機(jī)器人方面有著良好的記錄。它是一種蠕蟲,因此可以快速傳播到易受攻擊的系統(tǒng),讓操作員可以訪問它們。雖然它不是專業(yè),但Gamarue可用于竊取敏感信息。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
