131期报告汇总
安天发布《恶意代码下载器“QuantLoader”分析报告》
近 日, 安 天 CERT( 安 全 研 究 与 应急处理中心)在梳理网络安全事件时 发现一例木马下载程序开始活跃,名为 “QuantLoader”。该程序已经在地下论坛 上发售了较长时间,其用于分发各种恶意 代码,包括勒索软件、银行木马及 RAT。
最新版本的 QuantLoader 通过使用一 些网络钓鱼攻击活动传播。该活动从一个 钓鱼电子邮件开始,附带一个为受害者提 供初始 JS 下载程序的链接。有趣的是,他 们选择了 file://(SMB) 协议而不是传统的 http://,也许是为了穿透一些代理 / 防火 墙。
攻击者首先通过钓鱼邮件使受害 者 打 开 附 件 中 的 JS 下 载 脚 本, 下 载 QuantLoader,运行后连接 C&C,下载后门, 最后回传系统信息。在邮件附件中的 JS 脚 本有很多代码,基本使用了混淆处理的方 式。通过对 JS 的分析,可以发现下载的域 名,包括 chimachinenow.com、motifahsap. com、sittalhaphedver.com。QuantLoader 本 体样本运行后将自身复制到 %appdata% 后 打开一个新进程,同时修改注册表使其开 机自启动。它调用 WinHttpCreateUrl,整 合恶意代码的完整 URL 并下载,C&C 地 址 为“wassronledorhad.in”。 同 时, 它 还会使用 netsh 命令向防火墙添加规则,指 定进程,然后指定允许操作的方向。
安天 CERT 提醒广大网络使用者,要 提高网络安全意识,在日常工作中要及时 进行系统更新和漏洞修复,不要随意下载 非正版的应用软件、非官方游戏、注册机 等。收发邮件时要确认收发来源是否可靠, 更加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习惯。 目前,安天追影产品已经实现了对该类恶 意代码的检出。