9月中旬以来,360安全大脑监测到多起针对商户和股民的网络木马攻击事件。360高级威胁研究分析中心追踪分析发现,此次攻击的手法和使用的文件特征与“看门狗”病毒如出一辙,几乎可以认定是“看门狗”团伙所为。对此,360安全团队提醒用户应及时下载安装360安全卫士,从而在第一时间拦截查杀此类木马威胁。
据悉,“看门狗”又称“金眼狗”,曾广泛受到国内外安全厂商的关注和报道,其主要攻击目标为东南亚博彩行业,并惯于使用Telegram等软件进行传播。而此次发起攻击的木马同样是通过通讯软件(如Telegram)和钓鱼网站进行传播,甚至就连木马执行方法也同样是通过lnk文件执行脚本,进而发起断网攻击等方式向受害机器植入远控木马并实现持续驻留的。故此,360安全团队认为这是“看门狗”团伙针对商户和股民发起的新一波攻击。
经溯源,360安全团队还找到下发木马压缩包的恶意网站IP为144.48.8.72,由此可反查到该IP的两个域名ouyipay.net和hlsypay.com。两个恶意域名均在今年9月份进行注册,并且从域名的拼写来看,应该是在模仿第三方在线支付解决方案网站yoyipay.com和hlspay.com(已过期)进行的域名注册。
而通过通讯软件群组进行传播的木马也会根据所在群组特征有针对性的修改为对特定群体更具吸引力的名称进行投放,比如分析人员就曾捕获到其经使用了“茅台集团户外广告资源采购- 禁止外传 内部使用需申请.zip”的文件名进行传播。不过,所说传播方式五花八门,但其下发的木马是一致的。以钓鱼网站下发为例,当用户访问攻击者设置的钓鱼网站时将会看到相同的如下登录界面:
不管是“点击此处更新防护盾”还是输入账号密码“安全登录”,最终都会从URL:index_files/ouyipay.zip处下载到名为ouyipay.zip的恶意压缩包资源。而压缩包ouyipay.zip仅包含一个可执行文件文件,即ouyipay.exe。值得一提的是,分析人员所下载到的文件编译时间为9月15日,而在撰写这篇报告的同时,木马仍在不断更新。
该木马完成在C:\programdata\的释放后,会立即执行如下这段powershell命令,从而完成以下工作:
(1)利用DCOM接口对象ShellWindows,执行系统命令断开网络连接;
(2)休眠2秒后执行之前释放的程序C:\ProgramData\svchosts.exe;
(3)利用DCOM接口执行之前释放的脚本C:\ProgramData\Minutes.vbe;
(4)休眠2秒后执行系统命令恢复网络连接。
其中,svchosts.exe程序被启动后,会再释放处officeexp.exe、office.exe并执行。释放的两个文件功能相似,均具有齐全的远控功能,支持进程操作、文件操作、键盘记录、信息窃取、截屏、代理、横向移动、驻留机器等功能。
通过一系列复杂操作,该木马最终可实现其释放的远控程序svchosts.exe的长期内存驻留。而攻击者可以在后续的操作中,利用驻留内存的木马进一步收集用户信息,并发起新一轮渗透攻击,从而对用户信息和财产安全造成巨大威胁。
不过,用户也无需过于担忧。在360安全大脑的极智赋能下,360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时,针对此类威胁360安全大脑给出如下安全建议:
1. 对于个人用户,可及时前往weishi.360.cn下载安装360安全卫士,强力查杀此类病毒木马;
2. 对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;
3. 企业360情报云的ioc检测、发现能力已经全面集成到本地大脑、asia、安全DNS等产品中,用户可以通过采购这些产品获取高效及时的最新威胁情报支持,提升安全产品防御能力;
4. 目前360沙箱云已对外提供公开服务,可及时前往ata.360.cn在线体验。通过沙箱云可以快速准确对可疑样本完成自动化分析,帮助企业管理员更好应对企业内部面临的安全问题;
5. 对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;
6. 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合。