欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

超会躲!变种Terminator木马锁定台湾攻击

来源:本站转载 作者:佚名 时间:2013-10-29 TAG: 我要投稿

 今年黑客年会,安全研究人员Paul Rascagnere指出台湾仍有60多家企业留有远端木马工具(RAT)Poison Ivy及Terminator的遗毒未清,持续在对远端黑客传送资料。主要原因是这类恶意程序不断变种,难以被安全防御工具侦测。而FireEye近期研究也发现这支持续变种的Terminator持续锁定攻击台湾。

FireEye近期发现一波可疑的攻击样本,透过钓鱼邮件攻击台湾,邮件内附一个名為”103.doc”的恶意Word档,它是利用CVE2012-0158弱点,使用者点选后会被植入一支名为DW20.exe的恶意程序。

FireEye研究员Rong-Hwa Chong表示,这支Terminator不是第一次在APT攻击中出现,但它不断变形非常狡诈,使受害单位既有的资安防护设备完全无法侦测。

首先,它利用另一元件转送流量给代理服务器再来跟C&C服务器沟通(如下图),由于这种分工,一个一个分开看,防御设备便不会认為是可疑行为。
此外,它还可以让自己变大,档案可以大到超过40MB,以躲避file-based的防毒软体扫描侦测。同时这支DW20.exe在被下载安装后会先自我移除,
如果是一般的沙盒可能就不会发现,在重新开机时才会啟动。且為了不让安全人员发现,它还改变机码用自己建的文件夹与捷径。

经过解析,这支Terminator 样本会连回到liumingzhen.zapto.org以及liumingzhen.myftp.org这两台C&C服务器,与6月份FireEye发现的另一波攻击(钓鱼邮件如下图),使用相同的C&C服务器。该服务器IP登记于一家软件公司名下,经通报后表示会停机进行检查。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载