Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击” | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

申博_安全防护 申博 163次浏览 已收录 0个评论

近日,深佩服平安团队监测到针对进出口贸易企业、国内大型高新制造业的鱼叉式收集垂纶进击运动再次最先活泼。进击者经由历程捏造政府部门邮件、企业内部邮件等体式格局向目的机构特定部门(如:采购部门、财务部门等)提议进击,希图在目的主机分发银行木马,盗取秘要信息。

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

深佩服平安团队本次捕获到的进击运动重要手段是经由历程文档中的歹意宏代码下载实行Gozi银行木马。Gozi最早于2007年被发明,目的重要为各个国家的大型银行,其代码一直在更新迭代,进击目的也不停替换,以下是本次进击运动C2的要挟谍报关联:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

能够看出,进击者在运动时预备了十个Gozi木马的下载地点,每个文件的MD5都不雷同,而且C&C端在进击后会很快封闭,防止被反查。

进击手段剖析

垂纶邮件的内容一般为进击者经心组织,旨在诱惑用户下载和翻开邮件附件,附件的情势具有多样性,可能为伪装成一般文件的可实行文件,也有多是带有宏或破绽应用的文档文件:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

一旦用户依据邮件提醒启用宏,便会触发歹意的宏代码,此次深佩服平安团队捕获到的垂纶文档中,进击者在窗体中嵌入了powershell敕令,再经由历程殽杂的宏代码触发实行:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

代码是经由两次base64编码的powershell敕令,解码后以下,实现从C&C服务器下载Gozi木马并运转:

通过Rust编写操作系统之内存的分页与管理介绍(上)

Rust是一门系统编程语言,专注于安全,尤其是并发安全,支持函数式和命令式以及泛型等编程范式的多范式语言。Rust在语法上和C++类似,但是设计者想要在保证性能的同时提供更好的内存安全。 Rust最初是由Mozilla研究院的Graydon Hoare设计

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

Gozi银行木马剖析

Gozi木马在运转历程中会屡次解密运转payload,个中使用到的密钥为“May 26 2019”,Gozi木马一般会用时候字串作为解密密钥,该时候字符串能够用来关联样本所属的进击时代:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

在payload中,会解密出一个头部不完整的PE文件,掩盖历程本身内存,然后跳转运转:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

解密出须要用到的相干域名字符串:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

修正IE10相干注册表键值,随后注入浏览器历程:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

收集主机信息,编码后经由历程收集传输:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

该样本应用Microsoft网站托管获取到的主机信息,以此来回避防火墙的检测:

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”

解决方案

不要点击来源不明的邮件附件,特别是附件为可实行文件、带有宏的文档时,应进步小心。

原文地点: https://www.4hou.com/web/19470.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式进击”
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址