133期报告汇总
安天发布《基于 Python 的广告件“PBot”分析报告》
近日,安天 CERT(安全研究与应 急处理中心)在梳理网络安全事件时发 现一例基于 Python 的样本,它通过一 个漏洞利用工具包(EK)传播,伪装成 MinerBlocker,但其是一种基于 Python 的 广告软件。
漏洞利用工具包下载样本的下载器, 该下载器的功能是下载包含所有恶意 Python 脚本的程序,名为 MinerBlocker。 下载完成后会进行安装,安装过程是静默 操作,安装目录为 %appdata%。其中在目 录 js 中,可以发现一个 JS 脚本,它通过 配置文件进行注入,可以攻击 Firefox、Chrome、IE 等主流浏览器。样本首先会 将脚本插入到每个被访问的网站中,一旦 被注入,攻击者就可以控制浏览器中显示 的内容,并可以注入广告,也可以注入其 他的恶意代码。同时,该恶意代码也可以 使用伪造的证书替换合法证书。样本的注 入功能由 Python 实现,注入的恶意 DLL 可以实现挂钩到浏览器,可解析证书以及 负责发送和接收数据的函数,所有的请求 都会被重定向到恶意代码,它可以作为代 理,在途中改变数据,代理完成后,它将 跳回原始函数,因此用户不会意识到任何 功能的更改。
安天 CERT 提醒广大网络使用者, 要提高网络安全意识,在日常工作中要及 时进行系统更新和漏洞修复,不要随意下 载非正版的应用软件、非官方游戏、注册 机等。收发邮件时要确认收发来源是否可 靠,更加不要随意点击或者复制邮件中的 网址,不要轻易下载来源不明的附件,发 现网络异常要提高警惕并及时采取应对措 施,养成及时更新操作系统和软件应用的 好习惯。目前,安天追影产品已经实现了 对该类恶意代码的检出。