每周典型威胁分析

 
     近日，安天 CERT 在梳理网络安全事件时发现一个名为 M00nD3V Logger 的多功能窃密木马。由于该木马具有多种窃密功能，逐渐在黑客论坛活跃起来。感染的网站进行传播，通过带有 zip 附件的垃圾邮件和受感染的网站将有效载荷投放到受害者的机器上。M00nD3V Logger除了窃取信息外，还具有其他功能，包括反僵尸网络软件、检测系统中杀毒软件进程、反调试、通过 SMTP/FTP/ 代理将收集的数据进行回传、下载额外的插件以及采用 BouncyCastle 加密数据包等。目前，安天追影产品已经实现了对该 M00nD3VLogger 窃密木马的鉴定；安天智甲已经实现了对该窃密木马的查杀。

      垃圾邮件附件解压后包含恶意的可执行文件，执行后使用二层 XOR 解密并释放 M00nD3V Logger 窃密木马。该窃密木马具有多个功能模块，其每个模块对应功能为从指定 URL 下载名为 Crypto.dll 的文件并将其加载到内存中；执行前休眠 5000毫秒；创建名为 "99ed2fc7-0fdc-42ef-8b82-78d1c7c554e3" 的互斥量；使用 Rijndael256算法解密 StubConfig 中的数据，数据是Base64 编码过的值，密钥是硬编码的互斥量值；添加注册表键值实现自启动；检查系统中是否正在运行 SbieDll.dll，Wireshark等进程，如果存在，该木马将退出；提升进程权限，通过 AceQualifier AccessDenied将安全标识符类型设置为“WorldSid”，确保该进程不允许被终止；检查系统中杀毒软件名，使用镜像劫持技术达到禁用所有列出的文件名程序的目的；反僵尸网络软件；检查系统进程分析软件如 ProcessExplorer、Process Hacker 等；通过 SMTP/FTP/ 代理将收集的数据进行回传。

      安天 CERT 提醒广大政企客户，应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复，不随意下载非正版的应用软件，注册机等。收发邮件时应确认收发来源是否可靠，不随意点击或者复制邮件中的网址，不轻易下载来源不明的附件，发现网络异常要提高警惕并及时采取应对措施，养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令，如果业务上无需使用远程桌面服务，建议将其关闭。