Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

Release time:2018-06-27 source:黑客视界 Browse times:1976

Necurs 是全球最大的垃圾邮件僵尸网络,由数百万受感染的计算机组成,曾用于扩散 LockyGlobeImposter Trickbot 等多个恶意软件。4月研究人员发现Necurs的操纵者使用新技术规避检测——向受害者发送含有压缩包的邮件,解压后出现扩展名为 .URL 的文件,这些文件将利用服务器消息块(SMB)协议从远程服务器执行有效负载,从而成功地避开某些垃圾邮件过滤器。道高一尺,魔高一丈,最近趋势科技发现Necurs的作者在被发现后对规避方法似乎进行了升级。

这一次,来自僵尸网络的新一轮垃圾邮件使用Web查询文件IQY来逃避检测。具有特定格式的文本文件IQY文件允许用户从外部源导入数据到Excel电子表格中,并且Windows会在Excel中自动执行它们。

1.IQY附件的电子邮件

趋势科技披露,Necurs使用IQY文件附件的垃圾邮件的主题和文件名包含与促销、优惠和折扣等相关词汇。一旦执行,IQY文件将查询其代码中指示的URL,这会导致数据从目标网址被拉到Excel工作表中。而获取的文件加密数据包含滥用Excel动态数据交换(DDE)功能的脚本,以执行命令行并启动PowerShell进程。通过此过程,远程PowerShell脚本在目标系统上无文件地执行。该脚本旨在下载可执行文件,特洛伊木马远程访问应用程序及其最终有效载荷:FlawedAMMYY后门程序。该恶意软件应该是使用Ammyy Admin远程访问特洛伊木马的泄漏代码构建的。作为最近的攻击的一部分,脚本会在最终的有效载荷之前下载一个图像文件。安全研究人员说,这张图片是一个伪装的恶意软件下载程序,用于获取包含相同主要后门例程的加密组件文件。

2.以附件IQY文件开始的感染链

FlawedAMMYY设计用于执行远程恶意服务器的一系列命令,包括文件管理器,视图屏幕,远程控制,音频聊天,RDP SessionsService  -安装/启动/停止/删除禁用桌面背景,禁用桌面组合,禁用视觉效果以及显示工具提示鼠标光标闪烁的原因。

Necurs中添加这一新的规避层将带来新的挑战,因为web查询通常以明文文件的形式出现,这使得所附的IQY文件的URL成为恶意软件活动的唯一指示。此外,它的结构与普通的Web查询相同。因此,一种可以阻止恶意url的安全解决方案才可以抵御这种威胁。

为了抵御这些威胁,严格的安全协议和最佳实践至关重要。此外,由于这是已知的攻击媒介,用户在执行IQY文件附件时会收到两条警告消息,如果注意这些警告则可以阻止感染。

Recommended news

数据泄露丑闻发酵,脸书已到生死关头?

2018-03-21

近日一则“剑桥分析(Cambridge Analysis)”丑闻,引发全球数据泄露风波。身处“...

上海图纸加密公司获得市场认可的原因是什么?

2018-03-14

图纸加密是现代经济社会诞生以来大家都十分关注的一个工作,特别在上海这样的规范大都市中上海图纸加密怎么选择就是一个热...

法国一家工程公司65GB机密文件被盗,涉及核电站、监狱、电车项目

2018-11-05

据外媒报道,在几个月前发生的一场网络攻击中,超过1万份与法国核电站、监狱及电车网络相关文件加密的机密...

Uber数据泄露遭英国罚款38.5万英镑

2018-11-30

据悉,那次数据泄露致使大约270万英国用户的数据遭到入侵,内容则涵盖了用户的姓名、电话号码和电子邮件...

伊朗黑客组织试图伪造以色列安全公司官网实施网络钓鱼

2018-07-05

以色列安全公司 ClearSky Security在近日发布报告称,伊朗APT黑客组织Charm...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top