233期报告汇总
安天发布《AbSent 窃密木马分析报告》
 
     近日,安天 CERT 在梳理网络安全事件时发现了利用 COVID-19 为主题的钓鱼邮件传播 AbSent 窃密木马活动。AbSent是一款具有反调试、反虚拟机和反沙箱检测的窃密木马。该窃密木马主要通过钓鱼邮件进行传播,目的是窃取用户个人信息。

      该活动通过钓鱼邮件进行传播,附件中包含一个伪造成文档的可执行文件,该可执行文件一旦执行便会连接 C2 下载并运行 AbSent 窃密木马,该窃密木马将自身复制到% TEMP%路径下并重命名为winsvchost.exe,创建计划任务达到持久性的目的。AbSent 窃密木马每 15 分钟与 C2进行一次连接保持心跳。AbSent 窃密木马主要功能包括远程桌面控制、键盘记录、收集主机信息、获取进程路径、获取浏览器 Cookie 信息、上传可能包含敏感信息的文本文件、获取进程列表、结束指定进程、获取屏幕截图以及打开 CMD 等。

      安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。

      目前,安天追影产品已经实现了对该窃密木马的鉴定;安天智甲已经实现了对该窃密木马的查杀。