小心应用Office破绽流传商业间谍软件AgentTesla | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

小心应用Office破绽流传商业间谍软件AgentTesla

申博_安全预警 申博 129次浏览 已收录 0个评论

配景概述

AgentTesla原本是一款在2014年宣布的简朴的键盘纪录器,近年来其开辟团队为其赓续增加了很多新功用,并举行出卖。AgentTesla现已成为一个商业化的特务软件,可经由历程掌握端天生知足功用需求的木马顺序。

AgentTesla最常见的流传体式格局是垂纶邮件,邮件附件中通常会照顾歹意文档,经由历程宏或破绽应用下载运转歹意顺序。近日,深佩服平安团队收罗到应用CVE-2017-11882流传AgentTesla盗取信息的歹意样本,并对其进击历程举行了详细分析。

详细分析

CVE-2017-11882

1.运用东西监控文件行动,检察到运转文档后体系拉起了eqnedt32.exe历程,而且经由历程抓包捕获到下载EXE文件的流量,由此揣摸是应用CVE-2017-11882实行歹意代码:

2.经由历程附加调试器,在Kernel32!WinExec下断点,检察寄存器值,找到运转了”C:\Users\root\AppData\Roaming\Adobe.exe”的敕令,与捕获到的流量信息相结合揣摸,歹意代码应是下载文件保存到当地然后运转,揣摸运用了URLDownloadToFile相干API:

3.附加调试器对网络相干API下断调试,但顺序并没有断下,因而在eqnedt32.exe形成溢出的函数处下断,单步调试到ret掩盖的返回地点,实行歹意代码:

4.歹意代码先对内存举行解密操纵,图中是解密前后对照,能够直观的看到所运用的字符串信息,经由历程动态猎取API地点,挪用URLDownloadToFileW下载文件,再经由历程WinExec运转:

AgentTesla

1. AgentTesla是用.Net框架编写的键盘纪录器,运用反编译东西检察代码,自界说函数名都举行了殽杂,但运用的API和症结字符串仍然是明文的,能够看到举行键击纪录的代码:

2.除键盘纪录之外,还会经由历程读取注册表键值来猎取主机信息:

3.运用DES算法加密所要发送的数据:

关于海莲花组织针对移动设备攻击的分析报告

海莲花是什么? “海莲花”(又名APT-TOCS、APT32、OceanLotus),被认为是来自中南半岛某国的APT攻击组织,自2012年活跃以来,一直针对中国的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动的最活跃的APT攻击组织之一。 安天及其他安全厂商在之前已经发布过多份关于海莲花的分析报告,报告的内容主要集中在PC端,攻击手段往往以鱼叉攻击和钓鱼攻击为主,移动端的攻击并不多见。然而,随着移动互联网的发展,一方面人们的手机逐渐出现两用性,除了包含使用者的个人隐私外,也往往会带有其社会属性,另一方面,智能手机的无线通信可以绕过内部安全监管设备,故而针对移动端的攻击也成为了整个攻击链条中的重要一环。下面,安天移动安全以发生于我国的一起移动端攻击事件为蓝本进行具体分析说明。 具体分析 表1. 典型样本基本信息 该应用伪装正常应用,在运行后隐藏图标,并于后台释放恶意子包并接收远程控制指令,窃取用户短信、联系人、通话记录、地理位置、浏览器记录等隐私信息,私自下载apk、拍照、录音,并将用户隐私上传至服务器,造成用户隐私泄露。 样本分析 该应用启动后会打开LicenseService服务: 该服务会开启f线程用于注册和释放间谍子包: 注册url:ht

小心应用Office破绽流传商业间谍软件AgentTesla

4.有三种可选的体式格局将盗取到的数据上传至长途C&C端:

经由历程FTP上传:

小心应用Office破绽流传商业间谍软件AgentTesla

经由历程SMTP上传:

小心应用Office破绽流传商业间谍软件AgentTesla

经由历程HTTP上传:

5. AgentTesla的资本中内嵌了一个DLL文件,名为IELibrary.dll,是一个用于完成浏览器操纵的DLL文件,在AgentTesla中界说了须要盗取信息的浏览器及网络套件称号,这是在运用掌握端天生歹意顺序时的可选项:

6. IELibrary.dll重要针对浏览器举行信息网络和操纵,包罗历史纪录的增删查:

小心应用Office破绽流传商业间谍软件AgentTesla

盗取暗码及cookie:

小心应用Office破绽流传商业间谍软件AgentTesla

解决方案

病毒防备

1、不从不明网站下载软件,不要点击来源不明的邮件附件,不随意启用宏;

2、下载补钉修补CVE-2017-11882:

3、开启Windows Update功用,按期对体系举行自动更新;

4、深佩服防火墙客户,发起升级到AF805版本,并开启人工智能引擎Save,以到达最好的防备结果;

末了,发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明小心应用Office破绽流传商业间谍软件AgentTesla
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址