171期报告汇总
安天发布《WebCobra 挖矿木马样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 种名为 WebCobra 的挖矿木马。该木马来 自俄罗斯,它可以自动探测系统架构,来 选择释放和安装不同的挖矿软件。
WebCobra 通 过 流 氓 PUP 安 装 程 序进行传播,其主要的植入程序是一个 Microsoft 安装器,用于检查运行环境。在 x86 系统上,它会将 Cryptonight 挖矿软件 的代码注入到一个正在运行的进程中,并 且启动进程监视器;在 x64 系统上,它会 检查 GPU 配置,并从远程服务器下载和 启动 Claymore’s Zcash 挖矿软件。木马程 序启动后,还会采用一些反调试、反模拟和反沙箱技术,以及检测系统上正在运行 的其他安全软件。WebCobra 通过将 ntdll. dll 和 user32.dll 文件载入内存中,修改里 面 API 函数的前 8 个字节,来逃避安全软 件的检测,并且使用一个死循环,不断检 查所有已打开窗口的标题栏文本,来确定 自己是否运行在一个专为恶意软件设计的 隔离环境中。以上这些步骤可以使该恶意 软件在系统中隐匿相当长的一段时间。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
