167报告汇总
安天发布《Wirenet 木马样本分析报告》
近日,安天 CERT(安全研究与应急处 理中心)在梳理网络安全事件时发现一种名 为 Wirenet 的挖矿木马。该木马以 Opera、 Firefox、Chrome、Chromium 等跨平台浏览 器和 Thunderbird、SeaMonkey、Pidgin 等应 用的密码为目标,窃取用户信息。
Wirenet 在 Linux 平台下会自动复制至 “~/WIFIADAPT”目录,然后使用 AES 加 密通道,连线至 C&C 服务器。该样本的函 数数量较多,大部分的字符串信息已经被加 密,样本在网络传输过程中使用了 AES 加密。 因此,样本 main 函数执行时首先进行了 AES 的初始化操作,其使用的 AES 加密模式 为 CFB。其次,样本 main 函数中还调用了 一个 InstallHost 函数用于执行自我安装程序,同时在 ReadSettings 函数中包含了一些设置 的重要信息。样本的重要信息都采用 RC4 加密方式进行加密,通过 GDB 动态调试即 可获取到大量信息,如连接的服务器、密码 等,这些信息在 InstallHost 函数中被使用, 而 InstallHost 函数中的 Wirenet 使用解密出 的信息与服务器建立连接,并且在 /.config/ autostart 中设置开机自启动功能。另外样本 中还有一个重要的函数 ProcessData,通过对 ProcessData 函数的调用关系可发现,该函数 包含了大量功能,如遍历文件夹、读写文件、 获取操作系统版本和用户信息、鼠标监控、 开关机等,Wirenet 基本具备了一个普通后 门程序所具备的功能。
安天 CERT 提醒广大政企客户,要提高网络安全意识,在日常工作中要及时进行系 统更新和漏洞修复,不要随意下载非正版的 应用软件、非官方游戏、注册机等。收发邮 件时要确认收发来源是否可靠,更加不要随 意点击或者复制邮件中的网址,不要轻易下 载来源不明的附件,发现网络异常要提高警 惕并及时采取应对措施,养成及时更新操作 系统和软件应用的好习惯。确保没有任何计 算机运行直接连接到 Internet 的远程桌面服 务,而是将运行远程桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时 也要做好文件的备份,以防止勒索软件加密 重要文件后无法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
