166期报告汇总
安天发布《Johnnie 挖矿木马样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 种名为 Johnnie 的挖矿木马。该木马使用了 powershell 脚本以服务的方式启动,可以较 好地隐蔽自身,取证人员很难发现其踪迹。
Johnnie 木 马 包 含 多 个 模 块。Dropper 文 件 cspsvc.exe 用 于 加 载 powershell 脚 本, 我们称其为脚本 A。脚本 A 有多种功能, 通 过 其 参 数 可 以 看 出, 如 Start,Stop, Restart,Status,Setup,Remove,Service, SCMStart,Control 等。其会获取命令行参 数以执行相关操作,会默认启动 setup,其 中含有编译 C# 文件的功能,接着从 %fonts%或 %SoftwareDistribution% 读 取 配 置 文 件。 Service 中包含加密部分,加密内容为一个新 的 powershell 脚本,称其为脚本 B。其会新 建一个用户,密码从配置文件中读取,然后 从 msupdate.info 下 载 挖 矿 程 序, 释 放 加 密 的 powershell 脚本 C,此脚本是用于写入计 划任务以达到其以多种方式实现持久化的目 的。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进行 系统更新和漏洞修复,不要随意下载非正版 的应用软件、非官方游戏、注册机等。收发 邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址,不要轻易 下载来源不明的附件,发现网络异常要提高 警惕并及时采取应对措施,养成及时更新操 作系统和软件应用的好习惯。确保没有任何 计算机运行直接连接到 Internet 的远程桌面 服务, 而是将运行远程桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。 同时也要做好文件的备份,以防止勒索软件 加密重要文件后无法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。