201期报告汇总
安天发布《InnfiRAT 远控木马分析报告》
近日,安天 CERT 在梳理网络安全 事件时发现一个使用 .NET 编写的名为 InnfiRAT 的 远 控 木 马。InnfiRAT 最 早 在 2017 年被发现,主要通过钓鱼邮件进行传 播,目的是窃取用户个人信息和加密货币 钱包信息。
InnfiRAT 是一款具有反调试、反虚 拟机和反沙箱检测的远控木马。该木马 运行后,遍历进程判断是否存在 Process Hacker、Process Explorer 和 Process Monitor 进程,如果存在则退出。远控木 马创建计划任务每天执行一次。InnfiRAT木马包含 11 种控制指令,主要功能包括从 指定 URL 下载文件、收集主机信息、获取 进程路径、获取浏览器 Cookie 信息、窃取 比特币和莱特币钱包、上传可能包含敏感 信息的文本文件、获取进程列表、结束指 定进程、获取屏幕截图、打开 CMD 以及 清除浏览器 Cookie 信息等。
安天 CERT 提醒广大政企客户,应提 高网络安全意识。在日常工作中及时进行 系统更新和漏洞修复,不随意下载非正版 的应用软件,注册机等。收发邮件时应确 认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的 附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱口令,如 果业务上无需使用远程桌面服务,建议将 其关闭。
目前,安天追影产品已经实现了对该 远控木马的鉴定;安天智甲已经实现了对 该远控木马的查杀。