230期报告汇总
安天发布《Agent Tesla 窃密木马分析报告》
近日,安天 CERT 在梳理网络安全 事件时发现了利用鱼叉式钓鱼邮件传播 Agent Tesla 窃密木马活动。该活动主要针 对能源、制造、运输等行业。Agent Tesla 是 2014 年公开售卖的窃密木马,该木马主 要通过钓鱼邮件传播,目的是窃取用户敏 感信息。目前,安天追影产品已经实现了 对该窃密木马的鉴定;安天智甲已经实现 了对该窃密木马的查杀。
该活动通过带有恶意附件的鱼叉式 钓鱼邮件传播,一旦用户运行附件中的 可执行文件便会启动 Agent Tesla 窃密木马。该木马执行后将自身路径添加到注 册 表 HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run 键 值下设置为开机自启动。Agent Tesla 运行 后会窃取用户各种凭证包括 FTP 凭证、 WiFi 登录凭证、电子邮件凭证、浏览器中 存储的凭证等。除此之外,该木马还包括 远程桌面控制、键盘记录、收集主机信息、 获取进程路径、控制摄像头、获取屏幕截 图、复制剪贴板内容、上传敏感信息文件、 获取进程列表、结束指定进程和下载其他 恶意文件等功能。
安天 CERT 提醒广大政企客户,应提 高网络安全意识。在日常工作中及时进行 系统更新和漏洞修复,不随意下载非正版 的应用软件,注册机等。收发邮件时应确 认收发来源是否可靠,不随意点击或者复 制邮件中的网址,不轻易下载来源不明的 附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱口令,如 果业务上无需使用远程桌面服务,建议将 其关闭。