238期报告汇总
安天发布《Taurus 窃密木马分析报告》
近日,安天 CERT 在梳理网络安全事件时发现一个名为 Taurus 的窃密木马。Taurus 是 2019 年公开售卖的窃密木马,该木马主要通过垃圾邮件传播,目的是窃取用户敏感信息。目前,安天追影产品已经实现了对该窃密木马的鉴定;安天智甲已经实现了对该窃密木马的查杀。
Taurus 是一款具有反调试、反虚拟机和反沙箱检测的窃密木马。该窃密木马通过垃圾邮件传播,一旦用户打开附件中的 Word 文档并启用宏便会运行恶意宏执行 PowerShell 连接远程服务器下载并执行Taurus 窃密木马。该木马执行后将自身注入到 dllhost.exe(用于管理 DLL)进程中。Taurus 运行后会窃取各种凭证包括 FTP 凭证、电子邮件凭证、用户浏览器中存储的凭证、Cookie、浏览器历史记录和信用卡信息等。除此之外,该木马还包括窃取加密货币钱包、窃取 Skype 历史、从应用程序中窃取会话文件、收集系统信息,例如系统配置和已安装软件列表等。Taurus 窃密木马将窃密的数据进行压缩并上传至远程服务器。
安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。
