200期报告汇总
安天发布《Astaroth 窃密木马分析报告》
 
     近日,安天 CERT 在梳理网络安全事 件时发现一个名为 Astaroth 的窃密木马。 该窃密木马最早在 2017 年底被发现,主要 通过钓鱼邮件进行传播,目标是窃取欧洲 和巴西用户的个人信息和其主机的系统信 息。

      当用户点击邮件附件中.lnk快捷方式文件 时,该恶意代码将运行WMIC(Windows管理命令行工具)程序下载一个包含混淆JavaScript脚本的XSL文件。该JavaScript 脚 本 通 过 执 行 Bitsadmin( 命 令 行 工 具 ) 程 序 下 载 四 个 Base64 编码的 DLL 文件,使用 Certutil 工 具 ( 证书服务安装命令程序 ) 对这些文件进行解码操作,使用 Regsvr32 加载前三个 DLL 文件,并将第四个 DLL 文件(Astaroth 窃密木马主程序)注入到 Userinit 进程中。

      Astaroth 窃密木马主要功能包括键盘 记录、剪贴板记录、监控密钥状态、监控 IE 浏览器以及窃取计算机的初始信息(包 括相关网络、区域设置和键盘语言以及感 染机器的位置)。Astaroth 窃密木马专门 针对 IE 浏览器。当用户使用 IE 浏览器访 问银行或企业网站时,开启键盘记录功能, 窃取用户登录凭证、账号密码等信息。

      安天 CERT 提醒广大政企客户,应提 高网络安全意识。在日常工作中及时进行 系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确 认收发来源是否可靠,不随意点击或者复 制邮件中的网址,不轻易下载来源不明的 附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱口令,如 果业务上无需使用远程桌面服务,建议将 其关闭。

      目前,安天追影产品已经实现了对该 窃密木马的鉴定;安天智甲已经实现了对 该窃密木马的查杀。