165期报告汇总
安天发布《Zebrocy Tool 变种木马样本分析报告》
近日,安天 CERT(安全研究与应急处 理中心)在梳理网络安全事件时发现 Zebrocy 变种木马开始活跃。攻击者通过下载远程模板 并引诱用户启用模板中的恶意宏代码的方式传 播 Zebrocy 变种。
恶意文档会首先从短链接 hxxps:// bitly / 2G8QrgL 中获取远程模板,该模板内包含 恶意的宏代码,它可以从远程模板文件中提 取 ZIP 并将其保存到名为 driver_pack.zip 的文 件中。该压缩包含有一个可执行文件 comsvc. exe,它可以连接远程服务器并获取其有效载 荷。Zebrocy 恶意代码会检查正在运行的进程 路径,如果样本没有以 comsvc.exe 的形式运 行,它会向 google.com 发送一个 HTTP POST请求以规避启发式检测。恶意代码会获取卷 序列号和屏幕截图,并使用 Github 上提供的 名为 psutil 的合法库来收集系统的特定信息, 如操作系统版本、系统启动时间、系统正常 运行时间、系统 GUID 以及运行进程的 ID, 最后以特定的数据结构回传给 C2 服务器, 如 下 所 示:project=%3C%230%3E4D291F48 %3C%23%230%3E%3C%231%3E[ 存 储 卷 序 列 号 ]%3C%23%230%3E%3C%231%3E[ 收集的系 统 信 息 ]%3C%23%231%3E%3C%232%3E[JPEG 格式的屏幕截图 ]%3C%23%232%3E
安天 CERT 提醒广大政企客户,要提高 网络安全意识,在日常工作中要及时进行系统 更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。收发邮件时要 确认收发来源是否可靠,更加不要随意点击或 者复制邮件中的网址,不要轻易下载来源不明 的附件,发现网络异常要提高警惕并及时采取 应对措施,养成及时更新操作系统和软件应用 的好习惯。确保没有任何计算机运行直接连接 到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的备份,以 防止勒索软件加密重要文件后无法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
