|
近日,意大利警方逮捕了两名被称为“Occhionero兄弟”的意大利人,他们被指控利用恶意软件和定制的鱼叉式钓鱼攻击(SPEAR PHISHING)来监视知名政治家和企业家。这波攻击有着明显的攻击前准备,用意在制作有效的鱼叉式钓鱼攻击(SPEAR PHISHING)诱饵,取得目标的信任,并散播名为“EyePyramid”的恶意软件。通过对该起攻击事件的研究,小骗总结了攻击特征,来帮助企业用户完善网络安全防护策略。
“EyePyramid” 恶意软件攻击手段
首先,攻击者会针对特定域名的电子邮箱(如@gmail.it、@yahoo.com等),窃取受害者联系人的电子邮件帐号。
其次,攻击者会利用该邮件账号发送恶意邮件,将附加恶意软件原本的扩展名(.exe)变更,并设法以直接或间接的方式感染重点受害者的电脑。
最后,攻击者在电脑上执行恶意软件时,它会自动更新自己,窃取受害者的电子邮件帐号,并通过HTTP/HTTPS将收集的信息传送到制定的地址,同时将这些电子邮件帐号加到攻击者所用的已入侵帐号列表,以继续散播给其他受害者。
持续性
首次执行时,恶意软件会将自己复制到硬盘上(通常是根目录C:\),使用从随机列表中选出的文件名称,恶意软件会修改CurrentVersion\Run和CurrentVersion\RunOnce代码,将这些代码加入恶意软件路径以确保每次用户登录时都会执行恶意软件,以实现持续性感染。
重复使用程序代码
EyePyramid恶意软件的一个有趣特性是使用公开的第三方代码或开放的原始代码库,这使得其程序代码往往会在不同的变种中重复使用,但是,并非所有变种都使用相同的程序库组合。
文件收集
EyePyramid的主要特性是窃取文件,它会寻找.pst扩展名的文件,该扩展名被各种应用程序(包括Microsoft Exchange客户端,Windows Messaging和Microsoft Outlook)用于储存邮件、备忘录和其他类似信息。
停用安全软件
EyePyramid会针对各种安全工具,尝试停用安全软件的即时保护机制,防止防毒相关程序被启动。
混淆和保护
恶意软件使用三个工具进行混淆:Skater、Dotfuscator、ConfuserEx。因此,软件会让一般的除错和虚拟机动态分析无法进行,不过识别难度比较低,很多安全软件可以轻松发现。但是,定制化字串加密/混淆被用来处理字串,却让反编译原始代码无法被直接读取。特别是多数样本都用Skater加Dotfuscator用3DES来加密字串,序列化后转成字元组阵列。
防护建议
从纯粹的技术角度来看,EyePyramid恶意软件的来源及其更多信息仍在进一步调查获取中,而恶意软件攻击者也会使用多种的机制来掩盖其痕迹(例如模糊、封装、加密、停用安全工具),这在一定程度上加大了防护的难度。 | 
发表于 2017-3-22 17:35:46
收藏
|