177期报告汇总
安天发布《SLUB 后门木马样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现 一种被称为 SLUB 的新型后门木马。该木 马从 GitHub 获取要执行的命令,并通过 Slack 消息协作系统进行通信,主要窃取受 害者的个人信息及通讯信息。
SLUB 后门通过水坑攻击的方式传 播,当用户访问一个已被入侵的网站时, 会被重定向到一段恶意代码,该代码会下 载 一 个 DLL 文 件, 并 通 过 PowerShell 执 行它。文件执行后,首先检查计算机上是 否有杀毒软件,如果有则退出执行,否 则下载并运行 SLUB 后门,最后,它还会 利用 CVE-2015-1701 漏洞提升本地权限。 SLUB 后门运行后,首先将自身复制到\ProgramData\update\ 目录下,并添加为 注册表自启动项,然后从 GitHub 上下载 特定的“gist”段,提取行内的 cmd 命令 并执行,执行结果会用嵌入的 tokens 发布 到特定工作区的 Slack 私有信道上。SLUB 后门除了窃取计算机环境、运行的进程、 屏幕截图、硬盘列表、用户列表等系统信 息外,还会搜寻 Twitter, Skype, KakaoTalk, BBS 等通讯类软件的目录,窃取大量和受 害者相关的个人信息。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
