Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

Release time:2018-06-27 source:黑客视界 Browse times:2077

Necurs 是全球最大的垃圾邮件僵尸网络,由数百万受感染的计算机组成,曾用于扩散 LockyGlobeImposter Trickbot 等多个恶意软件。4月研究人员发现Necurs的操纵者使用新技术规避检测——向受害者发送含有压缩包的邮件,解压后出现扩展名为 .URL 的文件,这些文件将利用服务器消息块(SMB)协议从远程服务器执行有效负载,从而成功地避开某些垃圾邮件过滤器。道高一尺,魔高一丈,最近趋势科技发现Necurs的作者在被发现后对规避方法似乎进行了升级。

这一次,来自僵尸网络的新一轮垃圾邮件使用Web查询文件IQY来逃避检测。具有特定格式的文本文件IQY文件允许用户从外部源导入数据到Excel电子表格中,并且Windows会在Excel中自动执行它们。

1.IQY附件的电子邮件

趋势科技披露,Necurs使用IQY文件附件的垃圾邮件的主题和文件名包含与促销、优惠和折扣等相关词汇。一旦执行,IQY文件将查询其代码中指示的URL,这会导致数据从目标网址被拉到Excel工作表中。而获取的文件加密数据包含滥用Excel动态数据交换(DDE)功能的脚本,以执行命令行并启动PowerShell进程。通过此过程,远程PowerShell脚本在目标系统上无文件地执行。该脚本旨在下载可执行文件,特洛伊木马远程访问应用程序及其最终有效载荷:FlawedAMMYY后门程序。该恶意软件应该是使用Ammyy Admin远程访问特洛伊木马的泄漏代码构建的。作为最近的攻击的一部分,脚本会在最终的有效载荷之前下载一个图像文件。安全研究人员说,这张图片是一个伪装的恶意软件下载程序,用于获取包含相同主要后门例程的加密组件文件。

2.以附件IQY文件开始的感染链

FlawedAMMYY设计用于执行远程恶意服务器的一系列命令,包括文件管理器,视图屏幕,远程控制,音频聊天,RDP SessionsService  -安装/启动/停止/删除禁用桌面背景,禁用桌面组合,禁用视觉效果以及显示工具提示鼠标光标闪烁的原因。

Necurs中添加这一新的规避层将带来新的挑战,因为web查询通常以明文文件的形式出现,这使得所附的IQY文件的URL成为恶意软件活动的唯一指示。此外,它的结构与普通的Web查询相同。因此,一种可以阻止恶意url的安全解决方案才可以抵御这种威胁。

为了抵御这些威胁,严格的安全协议和最佳实践至关重要。此外,由于这是已知的攻击媒介,用户在执行IQY文件附件时会收到两条警告消息,如果注意这些警告则可以阻止感染。

Recommended news

部分政府官网“主动泄密”,是对个人隐私的冒犯和伤害 | 新京报快评

2017-11-14

▲景德镇市政府信息公开网截图。图片来自澎湃新闻 现代社会中,个人隐私和...

黑客破解数据库 致物流公司78万条个人信息泄露

2018-05-08

法制晚报·看法新闻(记者 付中 叶婉 实习生 白龙 )通过qq群,山东的软件工程师王某和只有小学文化的四川无业游民...

美国最大面包连锁店数百万顾客记录泄露长达八个月

2018-04-03

网络安全公司KrebsOnSecurity在本周一发表的文章中指出,美国最大面包连锁店Panerabread旗下网...

有政府网站泄露个人隐私 安徽、云南等多地开始排查

2018-01-05

安徽、云南等地政府发文要求政府网站排查个人隐私信息。排查的重点包含公民身份证号码、居住地址、联系...

健康应用PumpUp服务器未设密码 超过600万用户个人信息岌岌可危

2018-06-06

据外媒ZDnet报道,位于加拿大安大略省的PumpUp公司在上周发布声明称,旗下同名社交健康追踪应用无意中暴露了用...

Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top