绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城金币兑换
潜伏是谍战片的重头戏,可放诸网络空间,木马的潜伏就成为了触发安全预警的“暗雷”。

近日,360政企安全反病毒团队追踪到,一木马团伙通过篡改网上源码后重新打包软件的方式,利用各类主流即时聊天软件,扩散“暗藏”远控木马的各类“带毒”工具事件,危及政企多端用户安全。

从360安全大脑捕获样本来看,目前已发现遭该木马团队篡改的软件,具体涉及Xfilter(费尔防火墙)和QuickFTP两款产品。而在完成恶意篡改后,该木马团伙还将软件名修改为具有高迷惑性的名称,通过QQ、微信等即时通信软件传播,以诱导不明真相的用户点击,扩散远控木马。



不过广大用户不必过分担心,在360安全大脑的极智赋能下,360安全卫士可快速拦截查杀此类威胁。


锁定防火墙精准投毒
“双面”远控木马流窜多地

顾名思义,防火墙就是计算机内与外网之间的一道安全屏障。从360安全大脑追踪到的数据来看,木马团伙盯上防火墙软件,篡改其网上源码,置入远控木马后重新打包软件,这样就让传统意义上网络安全的“防火墙”,变成了带毒“传染源”。

除此之外,木马团伙为了提高感染率,还将篡改后的防火墙软件命名为“1灯饰品材料设计效果”、”2020-10月财务报表明细.exe”、”2020logo尺寸大小详细.exe”、”1乐心乐园规划园资料.exe”等具有迷惑性的描述,并通过QQ、微信等即时通信软件扩散传播,以诱导用户点击下载。

360社区

360社区


在对样本进行分析时,360安全大脑发现木马作者相当狡猾,被篡改的软件运行后,如果文件名不符合条件,就展示出正常软件的界面和功能,用以对抗分析人员和各类沙箱;而当文件名称符合预定格式时,就会执行远控木马的相关功能,凭借“两副面孔”流窜网络。

该木马除了具有键盘记录、盗号、截屏等常见远控功能外,还会进一步利用QQ快捷登陆接口盗取QQ群信息,侵害用户隐私和数据。360安全大脑统计数据显示,该木马目前已在国内多个省份广泛传播。


360社区

360社区


远控木马“试探性”投毒
样本溯源揭露元凶诡秘行踪

在比对关键信息过程中,360安全大脑发现该木马样本修改自XFilter源码。

360社区

360社区


而在运行后,木马会首先判断bugrpt.log文件是否存在,如若存在会直接读取该文件。否则会从hxxp://146.196.83.133:9527/Code.jpg下载数据到C:\\Users\\Public\\Documents文件下。

360社区

360社区


随后,则会对数据文件内容进行解密,而解密后的数据是一个动态链接库(dll)文件,木马会定位其导出函数GetQMLogEx并予以执行。

360社区

360社区


GetQMLogEx()函数首先会判断是否有管理员权限,如果没有则会尝试将自身复制到C:\Users\Administrator\Documents文件夹下运行。

360社区

360社区


其中内置的远控地址有如下几个:
81.16.137.40
146.196.83.133
180.215.192.63
146.196.83.168
115.231.220.147

运行过程中,木马会循环尝试以上IP,一旦发现远程地址可用,则尝试连接远端地址的2021端口。

360社区

360社区

360社区

360社区


之后对文件名进行验证。判断程序本身文件名首字符是否为1~5的数字,如果是才会继续释放后续的木马功能。

360社区

360社区


木马随后生成一个随机数字,并在C:\Users\Public\Documents目录下新建该随机名的目录。

360社区

360社区


再复制自身为wowFuncEx.exe到该目录下并执行。

360社区

360社区


而当该木马以WowFuncEx.exe命名时,就会执行其远控的相关功能。

360社区

360社区


同时还会复制本文件到同一目录下重命名为MainProEx.exe,作为双进程保护。

360社区

360社区


通过分析,360安全大脑发现该远控不仅具有盗QQ号、关闭设备、获取键盘记录、添加用户、截屏、添加自启动项、下载程序并运行等在远控木马中常见的恶意功能,甚至还会通过遍历进程的操作检查系统中存在的安全软件,严重威胁数据资产安全。


360社区

360社区


无惧远控木马威胁
360安全大脑高筑防御壁垒

面对远控木马等各类层出不穷的网络安全威胁,360安全大脑赋能下的新一代防护体系,不仅推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力,还增加了应对RDP爆破攻击,web应用系统漏洞,webshell攻击等多项针对服务器的防护能力。

同时,依托于2EB+全网大数据和快速分析发现能力,360安全大脑可第一时间发现软件劫持攻击,文件篡改攻击,供应链攻击等各类新生攻击事件,输出体系化防护能力。

360社区

360社区

(360安全大脑监控到的各类攻击事件)


目前,在360安全大脑的强势赋能下,360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时,面对强势来袭的远控木马威胁,360政企安全反病毒中心针对广大政企多端用户,给出如下安全建议:

1.对于个人用户,可及时前往weishi.360.cn下载安装360安全卫士,全面拦截各类木马病毒攻击;
2.对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;
3.对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;
4.不随意打开陌生人发来的各种文件。

360社区

360社区



来源   360安全卫士

共 0 个关于防火墙暗藏邪恶“寄生兽”,360安全大脑直捣远控木马真凶的回复 最后回复于 2020-11-25 18:17

评论

直达楼层

您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:175 关注:13 积分:178266

精华:307 金币:190005 经验:144202

最后登录时间:2021-3-6

摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

金币兑换

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表