cse zlab 安全报告:发现新型僵尸网络 wonder 程序踪迹
2017-10-26 10:27:05
hackernews.cc 10 月 23 日消息, 实验室研究人员近期在暗网调查恶意代码时发现一份以 “netflixaccountgenerator.exe” 命名的应用软件,其承诺为用户免费提供 netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统,从而被动参与黑客发起的网络攻击活动。目前,该恶意程序被用于僵尸网络 wonder 传播。
调查显示,研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此,研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外,该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。(如下图)
对此,研究人员经检验证实,位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 c&c 服务器前端。有趣的是,它的每个链接指的都是原始页面。只要点击一个链接,研究人员就将被重定向至 “support.com” 相应页面。另外,研究人员还发现了一些隐藏的路径,其中包含僵尸程序使用的信息和命令。(如下图)
知情人士透露,该恶意软件由两部分组成:
ο 下载器:它是一个 .net 可执行文件,其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/e8ye2hvm” 上。
ο 真正的僵尸程序:当它被下载和执行时,将会感染主机、设置持久机制并启动恶意操作。
cse cybsec zlab 发布的报告中还包括 iocs 和 yara 规则的进一步技术细节,感兴趣的用户可通过以下链接下载完整报告进行查看:《》
原作者:pierluigi paganini,译者:青楚
本文由 翻译整理,封面来源于网络;
转载请注明“转自 hackernews.cc ” 并附上原文链接
【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信