Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

挑战升级:Necurs僵尸网络使用Web查询文件IQY逃避安全检测

Release time:2018-06-27 source:黑客视界 Browse times:1987

Necurs 是全球最大的垃圾邮件僵尸网络,由数百万受感染的计算机组成,曾用于扩散 LockyGlobeImposter Trickbot 等多个恶意软件。4月研究人员发现Necurs的操纵者使用新技术规避检测——向受害者发送含有压缩包的邮件,解压后出现扩展名为 .URL 的文件,这些文件将利用服务器消息块(SMB)协议从远程服务器执行有效负载,从而成功地避开某些垃圾邮件过滤器。道高一尺,魔高一丈,最近趋势科技发现Necurs的作者在被发现后对规避方法似乎进行了升级。

这一次,来自僵尸网络的新一轮垃圾邮件使用Web查询文件IQY来逃避检测。具有特定格式的文本文件IQY文件允许用户从外部源导入数据到Excel电子表格中,并且Windows会在Excel中自动执行它们。

1.IQY附件的电子邮件

趋势科技披露,Necurs使用IQY文件附件的垃圾邮件的主题和文件名包含与促销、优惠和折扣等相关词汇。一旦执行,IQY文件将查询其代码中指示的URL,这会导致数据从目标网址被拉到Excel工作表中。而获取的文件加密数据包含滥用Excel动态数据交换(DDE)功能的脚本,以执行命令行并启动PowerShell进程。通过此过程,远程PowerShell脚本在目标系统上无文件地执行。该脚本旨在下载可执行文件,特洛伊木马远程访问应用程序及其最终有效载荷:FlawedAMMYY后门程序。该恶意软件应该是使用Ammyy Admin远程访问特洛伊木马的泄漏代码构建的。作为最近的攻击的一部分,脚本会在最终的有效载荷之前下载一个图像文件。安全研究人员说,这张图片是一个伪装的恶意软件下载程序,用于获取包含相同主要后门例程的加密组件文件。

2.以附件IQY文件开始的感染链

FlawedAMMYY设计用于执行远程恶意服务器的一系列命令,包括文件管理器,视图屏幕,远程控制,音频聊天,RDP SessionsService  -安装/启动/停止/删除禁用桌面背景,禁用桌面组合,禁用视觉效果以及显示工具提示鼠标光标闪烁的原因。

Necurs中添加这一新的规避层将带来新的挑战,因为web查询通常以明文文件的形式出现,这使得所附的IQY文件的URL成为恶意软件活动的唯一指示。此外,它的结构与普通的Web查询相同。因此,一种可以阻止恶意url的安全解决方案才可以抵御这种威胁。

为了抵御这些威胁,严格的安全协议和最佳实践至关重要。此外,由于这是已知的攻击媒介,用户在执行IQY文件附件时会收到两条警告消息,如果注意这些警告则可以阻止感染。

Recommended news

马来西亚再曝个人信息泄露案 事件涉及超44万人

2018-01-29

马来西亚媒体日前报道,该国超过22万名器官捐献者及其亲属的个人信息遭到泄露,这是半年来马来西亚发生的第二起重大个人...

ISIS黑客称成功入侵美国——下个目标瞄准俄罗斯

2017-12-28

E安全12月27日讯 “伊斯兰国”(ISIS)黑客组织的“哈里发网络幽灵”(简称CCG)发布视频称他们已获取美国国...

伊朗黑客组织试图伪造以色列安全公司官网实施网络钓鱼

2018-07-05

以色列安全公司 ClearSky Security在近日发布报告称,伊朗APT黑客组织Charm...

洋码头遭遇发展阵痛 数据泄露或拖累盈利预期

2018-08-20

在拿到2017年电商行业唯一一笔投资之后,在跨境直邮领域深耕多年的上海洋码头网络技术有限公司(下称 洋码...

网络犯罪活动猖獗的当下,互联网用户该如何保护自己?

2017-11-17

不知道你是否注意到了,在今年的各大媒体头条中,“网络”这个词出现的频率越来越高了,比如说“网络...



Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top