65期报告汇总
安天发布《FakeFile样本分析报告》
近日,安天追影小组在进行网络安全事件梳理时,关注到一个不需要root访问权限就可以实现自身恶意操作的后门木马。经分析,该木马家族为FakeFile家族木马,是一种针对桌面系统而非服务器的木马家族,主要利用PDF、微软Office或者OpenOffice文件进行传播。FakeFile木马主要功能是窃取被感染机器上的文件并上传,并执行shell命令,会控制服务器(C&C)发送的回复包,同时,会伪装成Windows平台的http通信。
经分析,FakeFile木马样本是一个elf格式文件,需要有32位环境兼容库才能执行。首先,当FakeFile木马样本运行后,该样本会将自身复制到“<HOME>/.gconf/apps/gnome-common/gnome-common”目录下,进行搜索并替换系统中特定文件名称的隐藏文件,完成感染机器、设置自启动并隐藏自身的目的。当成功完成第一步后,FakeFile木马样本会遍历系统,查看特定后缀名文件,包括以下后缀名称:
.doc、.DOC、.xls、.XLS、.ppt、.PPT、.docx、.DOCX、.xlsx、.XLSX、.pptx、.PPTX、.odt、.ODT、.ods、.ODS、.odp、.ODP、.pdf、.PDF等。随后,会与C&C服务器进行通信,接收指令。
从FakeFile木马家族的样本分析中,可以发现该木马具备对文件执行重命名、删除、发送文件或文件夹的全部内容至命令与控制服务器、发送文件夹内的文件清单至命令与控制服务器、创建新的文件与文件夹等操作功能。同时,还会运行文件、运行shell命令、设置权限、终止其进程或者将自身从受感染主机内移除。
在感染终端与C&C服务器通信中,感染终端会发送一个http GET请求的回复包。从回复包数据来看,其是伪装成一个Windows平台的浏览器访问请求包,回复包的User-Agent数据:User-Agent:Mozilla/4.0 (compatible; MSIE 5.00; Windows 98)。
随着Linux操作系统的日益普遍,恶意软件开发者们开始将矛头指向Linux计算机。不仅包括Linux服务器也针对桌面系统的计算机,并且Linux环境的恶意代码也越来越注重隐秘性,从替换劫持系统启动项中的隐藏文件,到其伪装为Windows环境访问浏览器的网络通信行为,都是为隐藏自身。安天追影小组提醒各电脑使用者要提高安全意识,不要随意打开未知的PDF、微软Office或者OpenOffice等文件,注意对隐私文件的保护。