網站首頁 > 熱門病毒專題 > 高危預警|駭客模仿“不可能的任務”在全球肆意傳播惡意木馬
 
標題:高危預警|駭客模仿“不可能的任務”在全球肆意傳播惡意木馬
分類:熱門病毒專題 日期:2019/8/8 上午 11:56:37

高危預警|駭客模仿“不可能的任務”在全球肆意傳播惡意木馬


江民科技  2019/8/8

僅憑一部電腦就能夠讓電信癱瘓,讓交通堵塞、讓航空秩序崩潰、讓整個城市停電、讓銀行ATM機吐鈔,能夠影響整個城市甚至國家,神秘的駭客彷彿無所不能。然而,這似乎如同電影場景般的事件僅僅只是現實社會的一角縮影,真正的駭客攻擊遠比這要複雜,每一次成功入侵的背後都有著複雜的計算過程和長期的準備。一個頂尖的駭客除了擁有頂尖級的技術,還懂得人心騙術,也就是所謂的社會工程學

近日,江民赤豹安全實驗室追踪到,一款名為暗黑彗星(DarkComet)的木馬再次在全球範圍進行傳播,攻擊者通過魚叉郵件、下載網站傳播遠程控制木馬,在全球範圍內批量抓“肉雞”(沒有資安意識的用戶)以竊取用戶隱私資訊、機密文件,乃至下發勒索病毒,給用戶造成巨大的網絡安全威脅。此次被捕獲的其中一個樣本(MD5: 41c75b13dbe7a5c8d6a3a5761b116e9d)是被改造過後的DarkComet木馬控制端程序,幕後攻擊者通過將自己打造的木馬與DarkComet控制端捆綁發布,當其他的攻擊者使用該木馬進行“抓雞”行動時,該攻擊者的主機也已經被幕後的發布者所控制,自身成了“肉雞”大軍的一員,駭客之間也玩起了“黑吃黑”的操作。

Darkcomet木馬是一款使用Delphi語言編寫的木馬程序,最早被發現於2008年,又稱“暗黑彗星”。該木馬運行後攻擊者擁有該主機完整的控制權限,此時的用戶設備已處於不設防的高危狀態,攻擊者不僅可以竊取上傳受害者鍵盤輸入、錄音、攝影資訊等隱私內容,還可根據服務端遠程指令執行下載、安裝軟體、啟動程序、運行腳本等控制操作。同時,攻擊者還可用被控制的電腦作跳板,對其它目標發起DDoS攻擊和下發勒索軟體。

江民全球惡意代碼樣本分析平台數據顯示,近三個月來,全球有5244例DarkComet感染事件發生,波及範圍廣泛,該木馬幕後者可以完全控制,使用該木馬攻擊者和攻擊者所控制的其他“肉雞”,通過捕獲到的樣本文件中的Users遺留的數據可以看出來幕後攻擊者已經使用該木馬控制了部分主機,分佈在阿拉伯國家、西班牙、越南、立陶宛、瑞典、日本、葡萄牙、芬蘭等國家。這種污染上游供應鏈的方式,同時也使得幕後人也實現了更高效的“抓雞”行為,其餘使用該木馬的攻擊者都淪為了幕後人的“打工仔”,最終幕後人只需要坐收漁利就可以擁有全球大量的“肉雞”,因此也被稱為駭客版的“不可能的任務”。


幕後者控制的部分主機名


幕後者使用的捆綁木馬也是DarkComet,C&C域名為fuckyoucunt.ddns.net,目前該域名已無效。這個古老的木馬深受攻擊者的青睞,儘管木馬作者於2012年已停止了對“暗黑彗星”木馬的更新,但由於其強大的木馬功能,至今仍有大量攻擊者使用該工具進行網絡攻擊。


 控制端功能界面


DarkComet在感染後會釋放木馬到:%appdata%\Microsoft\Windows\Templates\下,並設置其為系統隱藏屬性;隨後啟動木馬進程,並將木馬註冊為開機啟動,使用PE映像切換技術將木馬隱藏於svchost進程中,作為持續後門,一般情況下用戶很難發現電腦感染了該木馬。


高危預警

感染該木馬後,遠程攻擊者擁有該主機完整的控制權,主要包括:
1). 系統性能監控、系統資訊獲取、系統所屬地區分析;
2). 文件管理、進程管理、登錄檔管理、軟體安裝管理、遠程Shell;
3). 攝影監控、錄音監控、遠端桌面管理、監控鍵盤記錄;
4). 打開通訊埠、網絡共享管理、印表機管理、Socks5代理、遠端下載執行;

手工清除方法

1). 打開工作管理員,找到名為side.exe的進程,找到進程所對應的應用程序,刪除該應用程序。找到名為svchost.exe但用戶名為當前用戶名的應用程序,結束該進程;
2). 刪除登錄檔項:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\side;
3). 刪除登錄檔項:HKCU\Software\DC3_FEXEC。

應對措施及建議

1). 不運行來源不明的應用程序,不要從不可信任站點下載應用。對於已經停止支持的軟體不從非官方網站下載使用;
2). 安裝江民防毒軟體,定期更新病毒庫使其能夠針對最新的變種病毒進行查殺。


江民安全專家表示,通過偽裝或者捆綁下載是當前網際網路比較常見的一種傳播惡意代碼的方式,對於非官方網站提供的下載軟體應當謹慎使用,最好在使用之前校驗其哈希值,特別是對於已經停止維護的軟體更需要在使用前對其進行安全檢查,比較方便的方式是通過防毒軟體驗證其安全性之後再使用,在一定程度上可以免受惡意代碼的侵害了。

 
 
 
CopyRight  © 江民科技 1996 - 2017 版權所有 All Rights Reserved
總代理:六合國際實業有限公司 E-mail: jiangmin@jiangmin.com.tw