123期报告汇总
安天发布《inetinfo 家族样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 例后门样本,名为“inetinfo”。该样本利 用 445 及 3389 端口实施恶意操作,获取用 户网络信息并通过邮件回传,可以猜测该 恶意代码为某攻击的前导样本。
该样本是一个后门程序,该样本会根 据参数个数以及参数内容进行不同的操 作。如果参数个数不为 1 或者参数不是 45 则 为 程 序 中 的 服 务 提 供 ServiceStartTable 结构,其中包含服务名称 RdpCertification 和服务主函数指针。如果参数符合要求,则根据参数的值来进行相对应的操作,如 创建服务、删除服务、开启服务以及执行 服务主函数等操作。服务主函数的功能是 测试本机所处的网段中 445 端口以及 3389 端口是否可以使用,若可以使用则连接“本 机所处网段:445”获取账户信息,连接“本 机所处网段:3389”发送邮件。随机生成 IP,测试 IP 所处的网段的其他 IP 是否可 以连接,若可以连接则连接“IP:445”获 取账户信息,连接“IP:3389”发送邮件。 通过获取到的邮件了解受害者网络拓扑信 息,这样攻击者就可以确定可以攻击的目标,准备下一步的攻击。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来演是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类恶意代码的检出。
