240期报告汇总
安天发布《M00nD3V Logger 窃密木马分析报告》
 
     近日,安天 CERT 在梳理网络安全事件时发现一个名为 M00nD3V Logger 的多功能窃密木马。由于该木马具有多种窃密功能,逐渐在黑客论坛活跃起来。感染的网站进行传播,通过带有 zip 附件的垃圾邮件和受感染的网站将有效载荷投放到受害者的机器上。M00nD3V Logger除了窃取信息外,还具有其他功能,包括反僵尸网络软件、检测系统中杀毒软件进程、反调试、通过 SMTP/FTP/ 代理将收集的数据进行回传、下载额外的插件以及采用 BouncyCastle 加密数据包等。目前,安天追影产品已经实现了对该 M00nD3VLogger 窃密木马的鉴定;安天智甲已经实现了对该窃密木马的查杀。

      垃圾邮件附件解压后包含恶意的可执行文件,执行后使用二层 XOR 解密并释放 M00nD3V Logger 窃密木马。该窃密木马具有多个功能模块,其每个模块对应功能为从指定 URL 下载名为 Crypto.dll 的文件并将其加载到内存中;执行前休眠 5000毫秒;创建名为 "99ed2fc7-0fdc-42ef-8b82-78d1c7c554e3" 的互斥量;使用 Rijndael256算法解密 StubConfig 中的数据,数据是Base64 编码过的值,密钥是硬编码的互斥量值;添加注册表键值实现自启动;检查系统中是否正在运行 SbieDll.dll,Wireshark等进程,如果存在,该木马将退出;提升进程权限,通过 AceQualifier AccessDenied将安全标识符类型设置为“WorldSid”,确保该进程不允许被终止;检查系统中杀毒软件名,使用镜像劫持技术达到禁用所有列出的文件名程序的目的;反僵尸网络软件;检查系统进程分析软件如 ProcessExplorer、Process Hacker 等;通过 SMTP/FTP/ 代理将收集的数据进行回传。

      安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。