来自 数据 2021-05-02 23:13 的文章

网站防护_服务器安全防护专家年薪_限时优惠

网站防护_服务器安全防护专家年薪_限时优惠

删除Kasidet和Dridex的恶意Office文件介绍我们已经介绍了Dridex银行特洛伊木马通过各种活动交付,这些活动涉及Office文档和恶意VBA宏。然而,cc攻击防御哪家好,在过去的两周里,我们看到这些恶意的VBA宏除了在受感染的系统上使用Dridex外,还利用这些宏来关闭Kasidet的后门。这些恶意的Office文档正以附件的形式传播,日本高防cdn,如本文所述。Office文档中的恶意宏被混淆,如下面的代码快照所示-宏代码宏从硬编码的URL下载恶意软件负载。我们已经看到在我们为这次活动捕获的不同文档有效负载中使用了以下url:armandosofsalem[.]com/l9k7hg4/b4387kfd[.]exe三一广告-ventures[.]es/l9k7hg4/b4387kfd[.]exe 188.226.152[.]172/l9k7hg4/b4387kfd[.]exe在本博客中,我们将为Kasidet变体提供详细的分析我们在这次竞选中发现了。kaside分析安装:kaside将自身安装到%APPDATA%文件夹中。它在那里创建了一个名为"Y1FeZFVYXllb"的新文件夹,这个字符串是在恶意软件中硬编码的。同一个字符串用作互斥体名称,并用于创建注册表项以确保在系统上的持久性重新启动.AntiVMCheck:Kasidet试图在执行期间通过以下检查检测分析系统。通过"IsDebuggerPresent"和"CheckRemoteDebuggerPresent"Windows api检查Dubugger。它还检查以下流行的与沙盒相关的字符串:用户名:"MALTEST"、"tequilaboombom"、"sandbox"、"VIRUS"、"MALWARE"文件名:"SAMPLE"、"VIRUS"、"sandbox"它试图通过检查kernel32.dll是否正在导出"wine"函数来检测wine软件。它通过检查以下注册表项来检测Vmware、VirtualBox、QEMU和Bochs:Vmware"SOFTWARE\\Vmware,Inc.\\Vmware Tools""HARDWARE\DEVICEMAP\Scsi\Scsi Port\Scsi Bus\Target Id\Logical Unit Id","Identifier",Vmware""HARDWARE\DEVICEMAP\Scsi\Scsi Port\Scsi Bus\Target Id\LogicalUnit Id","Identifier","VBOX"VirtualBox"硬件\\描述\\系统","SystemBiosVersion",ddos云防御免费,"VBOX"软件\\Oracle\\VirtualBox Guest Additions""HARDWARE\\Description\\System","VideoBiosVersion","VIRTUALBOX"QEMU"HARDWARE\DEVICEMAP\Scsi\Scsi Port\Scsi Bus\Target Id\Logical Unit Id","Identifier","QEMU""HARDWARE\\Description\\System","SystemBiosVersion",ddos的防御带宽,"QEMU"Bochs"HARDWARE\\Description\\System","SystemBiosVersion","BOCHS"信息窃取能力:kaside使用以下两种方法从受害者的机器中窃取信息:1。内存刮取-这允许Kasidet从销售点(POS)系统的内存中窃取信用卡数据。它扫描所有正在运行的进程的内存,除了下面列出的操作系统进程:system短信服务.execsrss.exe文件winlogon.exelsass.exe文件spoolsv.exe开发.exe窃取的信息使用以下URI格式转发给攻击者–d=1&id=&name=&type=&data=&p=2。浏览器挂钩-这允许Kasidet从网络浏览器窃取数据。它可以将代码注入FireFox、Chrome和Internet Explorer(IE)。浏览器名称不会以纯文本形式保存,而是使用与Carberp恶意软件相同的哈希函数来加密浏览器名称。以下API被挂在web浏览器中,用于窃取敏感数据:浏览器API FireFox PR_Write Chrome WSASend IE HttpSendRequestW,InternetWriteFile窃取的信息通过以下URI格式转发给攻击者–ff=1&id=&name=&host=&form=&browser=如果系统区域设置已停用,则此Kasidet变体的信息窃取功能被停用或GeoUserID对应于俄罗斯。网络通信:Kasidet包含一个硬编码的命令与控制(C&C)服务器位置列表。它使用CryptStringToBinary API调用对嵌入的C&C URL进行解密,如下所示:Kasidet C&C list成功感染后,ddos攻击防御鱼目混,Kasidet发送一个HTTP POST请求,数据为"enter=1"(不带引号)。所有HTTP头字段(用户代理、内容类型和Cookie)都是硬编码在负载本身中的。如果HTTP头字段不同,Kasidet硬编码的HTTP字段C&C服务器将不返回所需的数据。服务器发送一个假的404响应代码和html数据,声明找不到页面,但C&C命令将隐藏在响应html注释标记中,如下所示:kaside-第一次与C&C通信kaside将通过以下POST请求从C&C服务器请求附加命令:Kasidet请求附加命令变量说明cmd命令。它在恶意软件有效负载中硬编码为"1"。从Software\Microsoft\Cryptography注册表项名称System name os操作系统版本p进程提升状态av Antivirus在受感染的系统上获取的id MachineGuid值v机器人程序的版本。它被硬编码在恶意软件中。我们分析的当前版本是4.4w标志,它指示系统区域设置和UserGeoID是否是类似俄罗斯的浏览器名称,所有命令字符串也使用哈希函数加密。下面是一些重要的命令:命令散列说明0x0E587A65(rate)它用于休眠函数0x89127D3使用HTTP协议的DDOS 0x0B37A84B6启动键记录和屏幕捕获线程0x89068E8h下载并执行附加组件。此文件可以是DLL、EXE或VBS。0x4A9981B7在系统当前运行的进程中搜索给定进程名0x8D26744在系统中查找给定文件并上载到服务器0CAB1E64A Drop设置.bin文件,更改防火墙设置以下载并执行插件组件0x10E6C4使用windows执行给定命令命令行.exe结论恶意Office文档文件是恶意软件作者传递有效负载的常用载体。Dridex的作者已经利用这一技术一年多了,很有意思的是看到同样的活动和url被用来交付Kasidet的有效负载。虽然这并没有在这两个恶意软件家族的作者之间建立任何联系,但它重申了这样一个事实:许多底层基础设施和交付机制通常由这些网络犯罪分子共享。ThreatLabZ正在积极监控这一威胁,并确保Zscaler客户的特征码覆盖率。分析:Abhay Yadav,Avinash Kumar和Nirmal SinghZscaler_媒体_中心2_博客_发布_1-R1