164期报告汇总
安天发布《tRat 远控木马样本分析报告》
近日,安天 CERT(安全研究与应急处 理中心)在梳理网络安全事件时发现一种名 为 tRat 的远控木马。该木马基于 Delphi 编写, 攻击者使用垃圾邮件传播,通过宏病毒的方 式下载 tRat 到受害者机器。
tRat 使用的宏病毒文档内容一般是知名 公司的广告,以此来诱导用户点击启用宏的 按钮;另外,还会以“invoice”这种模仿发 票的常见垃圾邮件传播恶意代码的方式来进 行攻击。一旦用户点击了启用宏的按钮,宏 代码即连接网络下载 tRat 远控木马并执行。 样本首先会复制自身到 %appdata% 下实现持 久性,接下来,tRat 在启动目录中创建一个 LNK 文件,在系统启动时会直接执行恶意代码。样本中的大部分内容使用了加密,通信 的数据也被加密并使用十六进制编码进行传 输。恶意代码回传的“AUTH_INF”中,使 用冒号分隔两个字符串,第一个字符串是其 硬编码的标识符,第二个字符串是加密的系 统信息,包含受害主机的计算机名称、系统 用户名和 tRat 的 botID。恶意代码还拥有向 C2 发送请求下载模块的功能,目前可以发送 命令“MODULE”,接收模块后可以将其作 为 DLL 加载。
安天 CERT 提醒广大政企客户,要提高 网络安全意识,在日常工作中要及时进行系 统更新和漏洞修复,不要随意下载非正版的 应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更加不要随 意点击或者复制邮件中的网址,不要轻易下 载来源不明的附件,发现网络异常要提高警 惕并及时采取应对措施,养成及时更新操作 系统和软件应用的好习惯。确保没有任何计 算机运行直接连接到 Internet 的远程桌面服 务,而是将运行远程桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问。同时也要做 好文件的备份,以防止勒索软件加密重要文 件后无法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。