文章圖片
文章圖片
安全419了解到 , 近日 , 瑞星威脅情報(bào)平臺(tái)率先捕獲到一批攻擊流程異常復(fù)雜的.NET惡意程序 , 經(jīng)瑞星安全研究院深入分析發(fā)現(xiàn) , 這些惡意程序?qū)崉t是一整套黑產(chǎn)工具 , 名為“FastDesktop” , 該工具可以通過(guò)衍生出的病毒及變種遠(yuǎn)程控制用戶主機(jī) , 并上傳用戶隱私信息 。 經(jīng)溯源發(fā)現(xiàn)該病毒作者疑為國(guó)內(nèi)黑客 , 通過(guò)售賣這套黑產(chǎn)工具牟取利益 , 定價(jià)為300塊/天 。
瑞星安全專家介紹 , 在通過(guò)對(duì)多個(gè)同類樣本進(jìn)行分析后發(fā)現(xiàn) , 這批惡意程序?yàn)楹箝T病毒 , 其中的兩大版本均是通過(guò)DLL劫持進(jìn)行攻擊的 , 攻擊者通過(guò)調(diào)用系統(tǒng)進(jìn)程svchost.exe , 以服務(wù)形式加載一個(gè)正規(guī)迅雷的庫(kù)文件fdsvc.dll , 然后在該庫(kù)文件執(zhí)行的時(shí)候再導(dǎo)入偽裝成迅雷的另一個(gè)惡意文件libexpat.dll , 同時(shí)由于在攻擊流程中負(fù)責(zé)執(zhí)行攻擊功能的文件都是DLL庫(kù) , 需要被加載進(jìn)內(nèi)存才可以執(zhí)行 , 因此依靠“捕獲-響應(yīng)”、基于特征或哈希的傳統(tǒng)反病毒技術(shù)很難檢測(cè)出這類惡意程序 。
“FastDesktop”中兩大版本的攻擊流程
病毒特點(diǎn):
瑞星安全專家表示 , 近年來(lái)基于.NET開(kāi)發(fā)的病毒日益增多 , 這源于其開(kāi)源代碼多 , 開(kāi)發(fā)速度快 , 開(kāi)發(fā)成本低 , 因此有不少黑客都會(huì)采用.NET編寫(xiě)惡意程序 。 而此次瑞星截獲的“FastDesktop” , 相較一般.NET惡意程序而言 , 攻擊流程更加復(fù)雜 , 且初始攻擊模塊的惡意行為度很低 , 結(jié)構(gòu)簡(jiǎn)單 , 因此隱匿性更強(qiáng) , 不僅可以有效對(duì)抗查殺 , 還便于后期病毒版本的更新 。
溯源:
通過(guò)更進(jìn)一步的分析 , 瑞星威脅情報(bào)中心查詢到病毒作者使用到的其中一個(gè)域名Whois信息 , 通過(guò)點(diǎn)擊發(fā)現(xiàn)這是一個(gè)購(gòu)買遠(yuǎn)程控制軟件的網(wǎng)站 。 在經(jīng)過(guò)注冊(cè)并登陸后顯示賬戶已經(jīng)過(guò)期 , 需要用戶進(jìn)行續(xù)費(fèi) , 并且界面中包括售前/售后、賬戶充值及管理端下載等主要功能 , 且定價(jià)為300/天 。 由此可知 , “FastDesktop”制作者為國(guó)內(nèi)黑客 , 制作這套工具 , 就是為了進(jìn)行售賣 , 方便一些沒(méi)有開(kāi)發(fā)能力的不法分子直接購(gòu)買 , 對(duì)目標(biāo)進(jìn)行遠(yuǎn)程控制類攻擊 。
“FastDesktop”制作者兜售遠(yuǎn)控惡意軟件
值得一提的是 , 此次瑞星捕獲的\"FastDesktop\" system.dll , 在VirusTotal今年3月的首次檢測(cè)報(bào)告中 , 僅瑞星一家國(guó)內(nèi)廠商將其判定為“惡意” 。 這源于瑞星近年來(lái)在人工智能引擎技術(shù)方面的不斷研究 , 以及對(duì).NET惡意軟件檢測(cè)能力上的兩項(xiàng)重要?jiǎng)?chuàng)新:l 研發(fā)基于人工智能的.NET程序文件判定引擎 。 海量分析的基礎(chǔ)上總結(jié)抽象 , 設(shè)計(jì)一套適用于通用檢測(cè)和混淆檢測(cè)的向量化方案 , 將文件轉(zhuǎn)為1627維特征向量 。 特征點(diǎn)囊括潛在隱寫(xiě)、動(dòng)態(tài)加載、動(dòng)態(tài)編譯、壓縮解壓縮、編碼解碼、加密解密、網(wǎng)絡(luò)下載等多方面的代碼意圖 。
l 改進(jìn)特征碼檢測(cè)技術(shù) 。 通過(guò)反編譯將.NET程序轉(zhuǎn)為結(jié)構(gòu)化文本代碼 , 稱之為“程序主干” 。 結(jié)合智能特征碼 , 綜合主干中函數(shù)調(diào)用流、數(shù)據(jù)引用流、特殊指令流來(lái)抽象惡意代碼特征 , 規(guī)避二進(jìn)制特征碼易繞過(guò)的缺點(diǎn) , 但該方案需人工干預(yù) , 響應(yīng)速度和日處理量受限人力 。
【黑客|300塊一天 國(guó)內(nèi)黑客售賣新型遠(yuǎn)控工具】因此 , 瑞星在.NET惡意軟件檢測(cè)能力獲得了較大的提升 , 在緩解人工分析處理壓力的同時(shí) , 也很好地獲得了對(duì)未知.NET惡意軟件的“預(yù)判”的能力 。
相關(guān)經(jīng)驗(yàn)推薦
- 耳機(jī)|耳機(jī)新體驗(yàn),不震不癢不壓耳,掛脖一天不想摘
- 短視頻|創(chuàng)新科技友情提示你“要質(zhì)在樂(lè)享每一天”
- 智能手機(jī)|陳根:一天少玩一小時(shí)手機(jī),生活會(huì)有什么變化?
- 軟件|功能強(qiáng)大但不為人知的三款優(yōu)質(zhì)軟件,建議收藏,總有一天用得上
- iOS|iOS15.5 Beta2更新一天體驗(yàn):多個(gè)問(wèn)題被修復(fù),但仍存在遺憾!
- 一加科技|好評(píng)率高達(dá)98%,100倍變焦+IP68級(jí)防水,一天后開(kāi)賣或?qū)⒖焖偈劭?
- 華為|時(shí)隔4年,華為終于等來(lái)了這一天
- 高通驍龍|跑分突破100萬(wàn),80W閃充+獨(dú)立顯示芯片,一天后開(kāi)賣或?qū)⒐┎粦?yīng)求
- |418大促學(xué)生黨的宿舍好物,華碩無(wú)畏Pro14好屏體驗(yàn)陪你度過(guò)每一天
- 傳感器|手機(jī)是怎么記錄步數(shù)的?你一天走多少步呢?