与我们合作

专注信息安全领域产品研发,致力于为政府、军工等涉密单位及其它企事业单位提供专业的信息安全产品、解决方案、技术顾问咨询等服务。

有关于信息安全领域及文件加密的问题和我们谈谈吗?

您可以填写右边的表格,让我们了解您的项目需求,我们将会尽快与你取得联系。当然也欢迎您致电我们400电话。

您也可通过下列途径与我们取得联系:

地 址:厦门思明区珍珠湾软件园一期创新大厦B区7楼

电 话:400-666-0170 / 0592-2565820

官 网:www.tipray.com

客户服务:sales@tipray.com

市场合作:market@tipray.com

快速提交您的需求 ↓

验证码

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

发布时间:2018-06-27 来源:黑客视界 浏览次数:6782次

Necurs 是全球最大的垃圾邮件僵尸网络,由数百万受感染的计算机组成,曾用于扩散 LockyGlobeImposter Trickbot 等多个恶意软件。4月研究人员发现Necurs的操纵者使用新技术规避检测——向受害者发送含有压缩包的邮件,解压后出现扩展名为 .URL 的文件,这些文件将利用服务器消息块(SMB)协议从远程服务器执行有效负载,从而成功地避开某些垃圾邮件过滤器。道高一尺,魔高一丈,最近趋势科技发现Necurs的作者在被发现后对规避方法似乎进行了升级。

这一次,来自僵尸网络的新一轮垃圾邮件使用Web查询文件IQY来逃避检测。具有特定格式的文本文件IQY文件允许用户从外部源导入数据到Excel电子表格中,并且Windows会在Excel中自动执行它们。

1.IQY附件的电子邮件

趋势科技披露,Necurs使用IQY文件附件的垃圾邮件的主题和文件名包含与促销、优惠和折扣等相关词汇。一旦执行,IQY文件将查询其代码中指示的URL,这会导致数据从目标网址被拉到Excel工作表中。而获取的文件加密数据包含滥用Excel动态数据交换(DDE)功能的脚本,以执行命令行并启动PowerShell进程。通过此过程,远程PowerShell脚本在目标系统上无文件地执行。该脚本旨在下载可执行文件,特洛伊木马远程访问应用程序及其最终有效载荷:FlawedAMMYY后门程序。该恶意软件应该是使用Ammyy Admin远程访问特洛伊木马的泄漏代码构建的。作为最近的攻击的一部分,脚本会在最终的有效载荷之前下载一个图像文件。安全研究人员说,这张图片是一个伪装的恶意软件下载程序,用于获取包含相同主要后门例程的加密组件文件。

2.以附件IQY文件开始的感染链

FlawedAMMYY设计用于执行远程恶意服务器的一系列命令,包括文件管理器,视图屏幕,远程控制,音频聊天,RDP SessionsService  -安装/启动/停止/删除禁用桌面背景,禁用桌面组合,禁用视觉效果以及显示工具提示鼠标光标闪烁的原因。

Necurs中添加这一新的规避层将带来新的挑战,因为web查询通常以明文文件的形式出现,这使得所附的IQY文件的URL成为恶意软件活动的唯一指示。此外,它的结构与普通的Web查询相同。因此,一种可以阻止恶意url的安全解决方案才可以抵御这种威胁。

为了抵御这些威胁,严格的安全协议和最佳实践至关重要。此外,由于这是已知的攻击媒介,用户在执行IQY文件附件时会收到两条警告消息,如果注意这些警告则可以阻止感染。

推荐新闻

1.23亿美国家庭敏感数据泄露,谁该为AWS S3配置错误买单?

2017-12-22

网络安全公司UpGuard 发表博文称,该公司网络风险研究主管克里斯-维克里于2017年10月6日发现——美国加州...

贷款买车也有风险!113万车主敏感信息泄露

2017-12-25

日产汽车加拿大公司(Nissan Canada)12月11日发现一起黑客入侵事件,通过加拿大日产金融(NCF)和加...

优衣库母公司逾46万顾客信息遭泄露!多少隐私数据还在裸奔

2019-05-17

继Facebook深陷“数据泄露门”,优衣库母公司日本迅销超过46万名顾客信息遭泄露,又令公众对个人信息泄露多了几...

数据泄露事件达成和解 美政府将向脸书开50亿美元罚单

2019-07-15

社交媒体巨头脸书因涉嫌泄露用户数据遭美国政府调查,7月12日,美国联邦贸易委员会(FTC)批准与脸书达成一项50亿...

相比Uber的5700万,趣店100万学生数据泄露影响面可能更大

2017-12-17

最近美国股市的中概股,都下跌的厉害。最厉害的,当属红黄蓝了,因为虐童事件,11月2...



Copyright ©2006-2020 厦门天锐科技股份有限公司

在线
客服

在线客服服务时间:24小时

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

返回
顶部