169期报告汇总
安天发布《Wirenet 木马样本分析报告》
近日,安天 CERT(安全研究与应急处 理中心)在梳理网络安全事件时发现一种名 为 Wirenet 的挖矿木马。该木马以 Opera、 Firefox、Chrome 和 Chromium 等 跨 平 台 浏 览 器 和 Thunderbird、SeaMonkey 和 Pidgin 等应用的密码为目标,窃取用户信息。
Wirenet 在 Linux 平台下会自动复制至 “~/WIFIADAPT”目录,然后使用 AES 加 密通道,连线至 C&C 服务器。该样本的函 数数量较多,大部分的字符串信息已经被加 密,样本在网络传输过程中使用了 AES 加 密。因此,样本 main 函数执行时首先进行 了 AES 的初始化操作,其使用的 AES 加密 模式为 CFB。其次 , 样本 main 函数中还调 用了一个 InstallHost 函数用于执行自我安装,同时在 ReadSettings 函数中包含了一些设置 的重要信息。样本的重要信息都采用 RC4 加密方式进行加密,通过 GDB 动态调试可 获取到大量信息,如连接的服务器,密码 等,这些信息在 InstallHost 函数中被使用, 而 InstallHost 函数中的 Wirenet 使用解密出 的信息与服务器建立连接,并且在 /.config/ autostart 中设置开机自启动功能。另外样本 中还有一个重要的函数 ProcessData,通过对 ProcessData 函数的调用关系可发现,该函数 包含了大量功能,如遍历文件夹、读写文件、 获取操作系统版本和用户信息、鼠标监控、 开关机等,Wirenet 基本具备了一个普通后 门程序所具备的功能。
安天 CERT 提醒广大政企客户,要提高网络安全意识,在日常工作中要及时进行 系统更新和漏洞修复,不要随意下载非正版 的应用软件、非官方游戏、注册机等。收发 邮件时要确认收发来源是否可靠,更加不要 随意点击或者复制邮件中的网址,不要轻易 下载来源不明的附件,发现网络异常要提高 警惕并及时采取应对措施,养成及时更新操 作系统和软件应用的好习惯。确保没有任何 计算机运行直接连接到 Internet 的远程桌面 服务。 而是将运行远程桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。 同时也要做好文件的备份,以防止勒索软件 加密重要文件后无法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。