180期报告汇总
安天发布《新型 sLoad Downloader 宏病毒样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 个名为 EVILNUM 的木马家族。这类木马 通过诱惑用户点击 lnk 文件来触发恶意程 序的执行。目前,该家族木马主要用来攻 击金融技术类行业的公司。
EVILNUM 家族的恶意软件目前存在 两个版本,一种使用 JavaScript 编写,一 种使用 .Net 编写。尽管编程语言不同,但 是它们的核心功能非常相似,.Net 版本更 像是对 JS 版本的重写。该家族木马获取 C2 服务器的方式十分特别,它首先会访 问指定的网站页面(如公共论坛、GitHub 等),再解析网页内容,提取指定位置的数字,将数字除以 666,最后将结果转化 成十六进制,就得到了 C2 服务器的 IP 地 址。EVILNUM 的每个版本在功能上都有 所差异,包括但不限于以下功能:设置自 身持久化、CMD 任意命令执行、下载其 他文件等。.Net 相比于 JS 版本,增加了窃 取本地 Cookie 信息和屏幕截图的功能。 EVILNUM 只是在攻击的第一阶段使用的 木马,它负责将被感染主机的信息发送给 攻击者,由攻击者决定是否在该机器上继 续安装其他的恶意程序,进行下一步攻击。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了 对该类恶意代码的检出。