Shakti特洛防DDoS伊木马-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 网站防护 > Shakti特洛防DDoS伊木马

Shakti特洛防DDoS伊木马

小墨安全管家 2021-01-11 13:21 网站防护 89 ℃
DDoS防御

Shakti特洛伊木马_文件盗贼

尽管一些勒索软件(即奇美拉)对窃取和公布私人文件发出虚假威胁,但实际上还有其他恶意软件家族使这种大概性成为现实。最近,Bleeping Computer发表了一篇对于一具未被识别的特洛伊木马程序的短文,它从被攻击的计算机上猎取文档并上传到恶意服务器上。从该工具的特点来看,我们怀疑它是为企业间谍活动而预备的。到目前为止,没有一具AV给那个恶意软件任何故意义的识别-它是在通用名称下检测到的。由于人们对它的内部结构知之甚少,于是我们决定认真看看。在未包装的核内心,我们发觉了暗示作者将项目命名为Shakti的字符串,这在印地语中的意思是"力量",或者也大概是指Shakti女神。这算是为啥我们把那个恶意软件称为Shakti特洛伊木马。这篇文章是研究的第一部分,简要介绍了恶意软件的功能,并描述了它的背景和大概的归因。另请参阅第2部分:Shakti特洛伊木马:技术分析。分析样品Bleeping Computer提到的最新样本(2016年8月1日提交给Virusttal):b1380af637b4011e674644e0a1a53a64:主可执行文件bc05977b3f543ac1388c821274cbd22e:运营商.dll7d0ebb99055e931e03f7981843fdb540:有效载荷.dllC&C:网络4解决方案.net其他发觉样品:8ea35293cbb0712a520c7b89059d5a2a:于2013年提交给VirusTotalC&C:securedesignus.com网站6992370821f8fbeea4a96f7be8015967:于2014年提交给VirusTotalC&C:securedesignuk.comd9181d69c40fc95d7d27448f5ece1878:2015年提交给VirusTotalCnC:web4解决方案.net行为分析与大多数恶意软件一样,Shakti特洛伊木马程序打包在加载程序可执行文件中,并添加了一具图标:部署后,它会肃静地运行。我们不大概在运行的进程列表中看到它,因为它使用扫瞄器的伪装。它部署了一具合法的进程并将自个儿注入其中。下面我们能够看到那个恶意软件产生的流量,注入内部火狐.exe:特洛伊木马程序经过将自身安装为服务来实现持久性,假如失败,则经过向autorun添加密钥来实现持久性:典型的特性是它不大概试图经过将原始文件挪移到新位置来躲藏原始文件。相反,它阻挠用户访咨询或删除它。为此,它打开自个儿的文件举行读取。网络通信特洛伊木马程序将数据作为HTTP POST请求传递到其C&C服务器(URL模式:[CnC address]/external/update)。它还使用MSMQ协议的头。它向服务器发送收集到的对于受害者系统的差不多信息。收到响应后,CC防御,它将上载所有已安装程序的列表:在传递这些初始数据之后,要紧任务开始:上传所有具有所需扩展名的文件。一切基本上以开放文本的形式传送的。首先是文件名,接着是它的完整内容:看看里面查看代码,CC防御,我们能够找到更多对于作者想要实现的目标和他们的开辟环境的信息。要紧可执行文件是一具加载程序,负责解包和部署核心恶意模块:运营商.dll以及有效载荷.dll. (对于它们的更多细节将在下一篇文章中描述。)两个DLL都附带调试符号的路径。它们显示了开辟机器上的文件夹结构:E: \Projects\ComplexStatement\Shakti\Code\Carrier\Release\承运人.pdbE: \Projects\ComplexStatement\Shakti\Code\Payload\Release\有效载荷.pdb这两个模块基本上用Visual C++编写的,DDoS防御,同时显然属于同一具项目,名为Shakti。有效载荷.dll附带了一具硬编码的扩展列表,DDoS防御,bot正在寻觅:显然,作者们对窃取文件感兴趣。其中大多数链接到MS Office数据包:inp、sql、pdf、rtf、txt、xlsx、xls、pptx、ppt、docx、doc大多数恶意软件都会给受害者系统留下指纹,但特别少能像这种特洛伊木马那么精确地识别细节。它提供了一长串的Windows版本列表,包括特殊版本:Cluster Server Edition、Datacenter Edition、Compute Cluster Edition、Advanced Server等:windows8和windows10的缺失在那个硬编码的列表中特别明显。这大概表明有效载荷是旧的,是在这些系统公布之前编写的。Windows 8于2012年10月公布。要紧元素的编译时刻戳:运营商.dll以及有效载荷.dll指向2012年2月。我们永久无法确定编译日期是否是伪造的,但由于这两个事实相匹配,所以值得思量的是,此特洛伊木马大概是在2012年创建的。追踪归因用作C&C的域,web4解决方案.net,在印度注册。记录来源:有味的是,同一具人也是先前发觉的C&C的所有者:securedesignuk.com来自样品:6992370821f8fbeea4a96f7be8015967记录来源:%20ahmed域名创建日期注册器securedesignuk.com2011年12月20日netearthone.com网站securedesignus.com网站来自样品:8ea35293cbb0712a520c7b89059d5a2a记录来源:https://who.is/whois/securedesignus.com印度的归属是大概的,匹配的印度名字特洛伊木马。另外,两个C&C域:web4解决方案.net以及securedesignuk.com被发觉使用同一证书-确认多年来为同一演员所有:结论Shakti特洛伊木马程序很小,也许不过为了窃取文档而编写的。到目前为止,我们还没有任何信息表明这次突击特别普遍。那个应用程序并不是新的,然而它从雷达上逃过了,到目前为止还没有被描述过。它的签名与任何已知的商品恶意软件都不匹配。唯一发觉的恶意软件跟踪点是2014年DrWeb发觉的,并给出了一具通用名称,特洛伊木马程序.DownLoader11可是,那个名字并没有描述真正的功能:上传而不是下载。有大概那个工具是专为小型企业间谍活动设计的。此特洛伊木马被Malwarebytes Anti-Malware检测为'特洛伊。沙克提’.


DDoS防御

当前位置:主页 > 网站防护 > Shakti特洛防DDoS伊木马

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119