近日,瑞星威脅情報平台率先捕獲到一批攻擊流程異常複雜的.NET惡意程序,經瑞星安全研究院深入分析發現,這些惡意程序實則是一整套黑產工具,名為「FastDesktop」,該工具可以通過衍生出的病毒及變種遠程控制用戶主機,並上傳用戶隱私信息。經溯源發現該病毒作者疑為國內黑客,通過售賣這套黑產工具牟取利益,定價為300塊/天。(獲取完整報告關注「瑞星企業安全」,回復關鍵字「FastDesktop」)瑞星安全專家介紹,在通過對多個同類樣本進行分析後發現,這批惡意程序為後門病毒,其中的兩大版本均是通過DLL劫持進行攻擊的,攻擊者通過調用系統進程svchost.exe,以服務形式加載一個正規迅雷的庫文件fdsvc.dll,然後在該庫文件執行的時候再導入偽裝成迅雷的另一個惡意文件libexpat.dll,同時由於在攻擊流程中負責執行攻擊功能的文件都是DLL庫,需要被加載進內存才可以執行,因此依靠「捕獲-響應」、基於特徵或哈希的傳統反病毒技術很難檢測出這類惡意程序。
圖:「FastDesktop」中兩大版本的攻擊流程
瑞星安全專家表示,近年來基於.NET開發的病毒日益增多,這源於其開源代碼多,開發速度快,開發成本低,因此有不少黑客都會採用.NET編寫惡意程序。而此次瑞星截獲的「FastDesktop」,相較一般.NET惡意程序而言,攻擊流程更加複雜,且初始攻擊模塊的惡意行為度很低,結構簡單,因此隱匿性更強,不僅可以有效對抗查殺,還便於後期病毒版本的更新。
通過更進一步的分析,瑞星威脅情報中心查詢到病毒作者使用到的其中一個域名Whois信息,通過點擊發現這是一個購買遠程控制軟件的網站。在經過註冊並登陸後顯示賬戶已經過期,需要用戶進行續費,並且界面中包括售前/售後、賬戶充值及管理端下載等主要功能,且定價為300/天。由此可知,「FastDesktop」製作者為國內黑客,製作這套工具,就是為了進行售賣,方便一些沒有開發能力的不法分子直接購買,對目標進行遠程控制類攻擊。
圖:「FastDesktop」製作者兜售遠控惡意軟件
值得一提的是,此次瑞星捕獲的"FastDesktop" system.dll,在VirusTotal今年3月的首次檢測報告中,僅瑞星一家國內廠商將其判定為「惡意」。這源於瑞星近年來在人工智能引擎技術方面的不斷研究,以及對.NET惡意軟件檢測能力上的兩項重要創新:1.研發基於人工智能的.NET程序文件判定引擎。海量分析的基礎上總結抽象,設計一套適用於通用檢測和混淆檢測的向量化方案,將文件轉為1627維特徵向量。特徵點囊括潛在隱寫、動態加載、動態編譯、壓縮解壓縮、編碼解碼、加密解密、網絡下載等多方面的代碼意圖。2.改進特徵碼檢測技術。通過反編譯將.NET程序轉為結構化文本代碼,稱之為「程序主幹」。結合智能特徵碼,綜合主幹中函數調用流、數據引用流、特殊指令流來抽象惡意代碼特徵,規避二進制特徵碼易繞過的缺點,但該方案需人工干預,響應速度和日處理量受限人力。因此,瑞星在.NET惡意軟件檢測能力獲得了較大的提升,在緩解人工分析處理壓力的同時,也很好地獲得了對未知.NET惡意軟件的「預判」的能力。
【安全圈】昆明一女子出於好奇,購買虛擬礦機挖「FlL」幣被騙17萬
【安全圈】美國運營商T-Mobile遭黑客入侵併被竊取其源代碼
【安全圈】北美國家財政系統遭勒索攻擊:稅務海關停擺
留言列表