安天发布《TeamSpy家族样本分析报告》

时间 ：  2017年06月28日  来源：  安天

近日，安天CERT（安全研究与应急处理中心）在梳理网络安全事件时注意到，一种利用远程控制软件TeamViewer进行恶意操作的恶意代码TeamSpy使用针对性的垃圾邮件进行攻击。TeamViewer是一种用于远程支持、远程管理、家庭办公在线协作和会议功能的软件。不幸的是，恶意软件 TeamSpy也发现这个工具非常有利于用来进行恶意活动。恶意软件 TeamSpy 是由远程访问工具 TeamViewer 和键盘记录器等组件组成。攻击者利用社会工程学诱骗受害者安装TeamSpy，并通过 DLL 劫持技术进行隐藏，然后利用合法的远程访问工具 TeamViewer 执行未经授权的操作，从而从受害者的设备中窃取机密文档和密码。

TeamSpy通过垃圾邮件传播 ，附件是一个带有恶意宏代码的Office文档，用户如果受骗上当点击启用宏，恶意代码就会感染计算机，这一切都会在后台运行，因此受害者不会发现任何攻击征兆。但如果安全人员来查看这些恶意宏，他们就可以看到经过混淆的字符串，这些经过修改的字符串通常会分割成一个或多个子串，这些子串最后又能被连接起来。该恶意宏会下载一个受密码保护的Inno安装程序。该程序包含恶意DLL，它hook了多种API函数，可以阻止应用程序访问资源、隐藏TeamViewer界面、使TeamViewer以预定义的密码开始、阻止一些恶意软件创建不需要的对话框、监听传入消息，发送新消息或等待来自C2的回复。

受感染的计算机是通过TeamViewer控制的，攻击者可以连接到远程计算机，因为他们已经知道了TeamViewer的ID和密码。通过TeamViewer聊天的通信可以实现基本的后门功能：applist，wcmd，ver，os，vpn，locale，time，webcam，genid。

安天CERT提醒广大网络使用者，不要随意点击或者复制邮件中的网址，不要轻易下载来源不明的附件。

目前，安天追影产品已经实现了对该类样本的检出。

报告地址：
https://antiy.pta.center/_lk/details.html?hash=08B9A556B239BA47C96A075CA71F7EE2