183期报告汇总
安天发布《BabyShark 木马家族样本分析报告》
近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 个名为 BabyShark 的远控木马。攻击者使 用鱼叉式网络钓鱼电子邮件的方式进行传 播,邮件附件为恶意宏文档,文档在执行 时会下载该木马。
BabyShark 是一种相对较新的恶意软 件,该木马于 2018 年 11 月首次被发现, BabyShark 恶意软件的诱饵文档均采用英 文编写,内容涉及东北亚安全问题。诱饵 文档中的内容一部分是互联网上的公开信 息,一部分是未公开的。在一个近期的样 本中,攻击者使用恶意宏来下载 BabyShark 木马,文档打开并启用宏之后,会从远程 位置下载 HTA 文件,下载成功之后,恶意 文 档 以 HTTP GET 方 式 从 C2 服 务 器 下载解码器,解码 HTA 文件并执行。解 码 后 便 是 BabyShark 木 马, 木 马 采 用 VB 语言编写,运行后首先添加注册表项使 Microsoft Word 和 Excel 启 用 宏, 然 后 执 行一系列 Windows 命令并将结果保存在% AppData% \Microsoft\ttmp.log 中,收集的 数据使用 Windows certutil.exe 工具进行编 码,然后通过 HTTP POST 方式传到 C2 服 务器,并且添加注册表键值以达到对受害 者的持久控制。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。