当前位置: 首页 » 资讯 » 上市公司 » 正文

远控木马“BADNEWS”升级再现,天融信安全防御方案速速安排

来源:天融信官微 35505/15

近日,天融信(002212)天璇实验室在日常安全运营中发现国外黑客组织Patchwork将BADNEWS远控木马伪装成PDF的lnk文件进行活动。本次发现的BADNEWS远控木马,不同于之前版本使用HTTP协议上传主机信息和接收远控指令,而

标签:

近日,天融信(002212)天璇实验室在日常安全运营中发现国外黑客组织Patchwork将BADNEWS远控木马伪装成PDF的lnk文件进行活动。本次发现的BADNEWS远控木马,不同于之前版本使用HTTP协议上传主机信息和接收远控指令,而是采取HTTPS通信,更为隐蔽。

Patchwork,印度知名黑客组织,又称HangOver、VICEROY TIGER、The Dropping Elephant、摩诃草(APT-C-09),该组织主要针对亚洲国家(地区)的政府机构、科研教育等领域进行网络间谍活动,以窃取敏感信息为主。

目前天融信天璇实验室已分析提取出BADNEWS木马特征,经验证,天融信下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关均可精确检测该木马的传播及活动行为,提供全面的保护措施,有效阻止危害进一步蔓延。

样本分析

(上下滑动查看更多)

1、该样本后缀名为.pdf.lnk,实际为lnk文件,双击运行后会执行文件中的PowerShell命令。lnk文件会从shhh2564.b-cdn.net/abc.pdf下载诱饵文件并打开,接着从shhh2564.b-cdn.net/c下载文件到C:ProgramDataMicrosoftDeviceSyncp,将p文件复制为同路径下的OneDrive.exe,并删除p文件,最后创建计划任务每隔1分钟执行OneDrive.exe。

2、OneDrive.exe就是BADNEWS远控木马,使用C++语言编写,编译于4月6日。

3、该远控运行后首先隐藏运行窗口。

4、创建互斥体名为“qzex”,保证木马自身单实例运行。

5、使用SetWindowsHookExW注册键盘钩子,将捕获到的键盘记录以文本的方式保存在%temp%目录下的kednfbdnfby.dat文件中。

6、获取受害主机的时区名称,检查是否为中国标准时区。

7、若检测结果为中国标准时区将收集系统信息上传至服务器。

① 获取操作系统版本信息。

②使用正常的Web服务(myexternalip.com, api.ipify.org,ifconfig.me)获取主机IP外网地址。

③将上一步获取到的外网IP地址在(api.iplocation.net,ipapi.co等)Web服务中查询所属国家的名称。

④将获取的信息base64编码后进行AES-128的CBC模式加密,最后将加密后的数据再进行base64编码。AES-128加密使用的密钥为“qgdrbn8kloiuytr3”,IV为“feitrt74673ngbfj”。

⑤具体收集的受害主机基本信息如下表:

8、接着获取CreateThread函数地址,创建3个线程与服务器通信,上传主机信息接收远控指令。

①获取CreateThread函数地址,创建3个线程。

②C2地址为:charliezard.shop:443,uri为/tagpdjjarzajgt/cooewlzafloumm.php,通信内容会使用AES-128加密数据。

③线程sub_409900负责将收集到的信息使用POST方式发送给C2,内容为收集的系统信息加密数据。

④线程sub_4090A0主要接收服务器下发的控制指令,执行相应的操作。

⑤线程sub_409440创建cmd进程执行whoami命令、ipconfig /all命令、ipconfig /displaydns命令、systeminfo命令、tasklist命令。收集当前用户名、完整网络配置信息、DNS缓存信息、完整系统信息、正在执行的进程信息后,使用AES-128加密数据,添加到endfh参数发送到C2。

样本IOC列表

TOPSEC

防护建议

应用软件下载请通过官方网站获取,避免通过第三方网站下载,下载文件打开前,提前使用杀毒软件查杀。

及时关闭客户端上不必要的文件共享权限以及端口。

配置高强度密码认证,建议口令长度为16位及以上,包括大小写字母、数字和符号在内的组合。避免多个账户使用相同口令以及弱口令,并定期更换。

定期对系统展开基线检查,组织渗透测试及安全加固,并及时更新操作系统、开源软件、第三方应用程序补丁等。

购买天融信下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关系统的客户,可以通过升级僵尸主机规则库、威胁情报库、病毒特征库进行有效监测防护。

TOPSEC

天融信产品防御配置

1

天融信下一代防火墙系统防御配置

1、升级到最新病毒特征库,配置病毒防护策略,开启日志记录和报警功能;

2、通过访问控制策略禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;

3、开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;

4、开启联动功能,获取天融信EDR系统、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围;

5、开启资产防护功能,启用资产行为基线功能,通过检测资产异常行为,可及时发现隐藏攻击行为并启用策略进行阻断。

2

天融信EDR系统防御配置

1、开启病毒实时监控功能,有效预防和查杀该病毒;

2、通过微隔离策略加强访问控制,降低横向感染风险;

3、创建周期扫描任务,定时对主机进行全面清理,消除安全隐患。

3

天融信僵尸网络木马和蠕虫监测与处置系统、入侵检测系统配置

1、升级最新僵尸主机规则库,配置僵尸主机策略,实时检测木马的异常通信;

2、升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中传播的木马;

3、开启僵尸主机、威胁情报日志记录和告警功能;

4、可配置旁路阻断或者天融信防火墙联动,拦截木马的异常通信和网络传播。

4

天融信入侵防御系统配置

1、升级最新僵尸主机规则库,配置僵尸主机策略,实时检测、拦截木马的异常通信;

2、升级最新威胁情报库,开启威胁情报恶意文件阻断和捕获功能,实时检测、拦截及捕获网络中传播的木马;

3、开启僵尸主机、威胁情报日志记录和告警功能。

5

天融信病毒过滤网关防御配置

1、升级到最新病毒特征库;

2、导入HTTPS证书;

3、开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测;

4、配置病毒检测处置策略;

5、开启日志记录和报警功能。

免责声明:本网转载合作媒体、机构或其他网站的公开信息,并不意味着赞同其观点或证实其内容的真实性,信息仅供参考,不作为交易和服务的根据。转载文章版权归原作者所有,如有侵权或其它问题请及时告之,本网将及时修改或删除。凡以任何方式登录本网站或直接、间接使用本网站资料者,视为自愿接受本网站声明的约束。联系电话 010-57193596,谢谢。

热门推荐

最全央企上市医药医疗企业名单(2023最新版)

来源:天融信官微 03/06 13:01

财中网合作