猖狂木马劫持官网,360安全大脑强力截杀

来源:江西网络广播电视台
2020-06-04 16:38 
分享

年初一场突发的疫情,将办公族们的办公场地从公司变为家中,平日面对面的工作交流也都变成了线上沟通。在此期间,云办公、云流程实力出圈,强大的远程协作体验受到了广大用户的极力追捧。然而“树大招风”,随着云办公的使用热度日益高涨,黑客组织也皆闻风而来,企图从中大捞一把。

近期,360安全大脑就借助全网信息,感知到有着大量用户的云办公软件明道云,官网下载链接惨遭劫持。当用户点击官方网站的下载链接后,下载的却是经过伪装的木马安装包。经360安全大脑结合用户被攻击信息分析,初步判定这一狸猫换太子的把戏,源于明道云部分下载服务器失陷。

1591258992195293.jpg

针对此次“藏毒“事件,360安全大脑第一时间通知明道云,目前,明道云官网和软件已恢复安全,可正常下载使用。此外,360安全大脑已独家拦截该木马攻击,广大用户也可尽快下载安装360安全卫士,保护个人数据及财产安全。

供应链攻击藏“毒”软件源头

利用信任轻松获取大量用户数据

随着网络安全防护技术的完善,黑客团伙想利用传统攻击手段非法获利,可谓愈发艰难。而针对供应链发起的网络攻击,则通过利用用户对于正版软件供应商的信任,让成功率实现几何式增长;另外,只要黑客成功攻陷一家软件供应商,就可以直接获取大量用户数据,尤其当这些用户是以企业为单位时,足以让其“要不不开张,开张吃一年”。

经在全网海量历史数据中进行溯源追查后,360安全大脑发现该黑客团伙至少从2019年5月起就已经开始作案,主要采取投放钓鱼木马和直接渗透攻击,并窃取了某些公司的数字证书,导致后续散播的木马程序具有了正规公司的数字签名。

图片2.jpg

在360安全大脑捕获到该例供应链攻击后,发现其木马具有正常公司的数字签名,乍一看还会误认为其“出身清白”。而事实是黑客团伙重打包了明道云2.0.3版本的安装包,并打上了签名“西安星空互动软件开发有限公司”。

图片3.jpg

接着双击运行木马安装包,360安全大脑还发现安装目录多出一个同样非明道云官方签名的hid.dll模块(如下图所示),除此之外的明道云文件全部正常,排查后发现这是针对明道云主程序MingDaoClould.exe的DLL劫持。而签名处无奈背锅的“西安星空互动软件开发有限公司” 所属一家制作游戏加速器的公司,很可能是黑客团伙盗用的数字证书,实与明道云毫无关系。

图片4.jpg

360安全大脑还对DLL文件进行了分析,发现其功能主要是判断用户的.Net版本之后释放一个BAT脚本文件(如下图所示),这个脚本首先用C#编译器编译生成一个木马下载器,然后将下载链接以参数的方式传递给下载去执行,最后清理现场。

图片5.jpg

从木马生成的批处理脚本可以看到它联网获取了一个名为logo.png的图片,然而实际上这是一个可执行程序。

该程序会联网获取一个尾部携带shellcode的图片,然后查找桌面进程(“explorer.exe”)并注入执行shellcode,其具体功能就是建立一个连接到黑客团伙的后门通道,等待接收控制指令。

1591259037415089.jpg

  新型攻击手法层出不穷

云办公安全或将迎来升级挑战

本着对于木马病毒的零容忍态度,360安全大脑不能坐视这种破坏正常软件信任的事件发生。根据已有的信息在海量历史数据中进行溯源检索显示,该团伙至少从2019年5月份起就已经开始通过渗透、钓鱼等手法接连作案。

2019年5月23日,某企业员工遭到钓鱼攻击,接收了名为“简历.exe”的文件后表现出受害者特征。

该钓鱼文件的图标伪装成系统文件夹的样式,很容易迷惑普通用户导致中招,实际上它是一个木马下载器。(如下图所示)

图片7.jpg

2019年9月7日,某用户电脑遭到渗透攻击,后续黑客团伙手工投放木马下载器“formdl.exe”进行后续攻击,该木马会在内存解密执行联网获取的shellcode进行后续攻击。相关代码大致如下图所示。

图片8.jpg

在后续攻击中还发现了具备正常签名的木马程序,这说明黑客团伙不是第一次盗用他人公司的正版数字证书了,除了“西安星空互动软件开发有限公司”还盗用“Xiamen Tongbu Networks Ltd.”来签发恶意程序,损害数字签名可信度。

图片9.jpg

2019年9月16日,某游戏行业人员遭到钓鱼攻击,收到了钓鱼文件“201909.exe”,行为与上文“简历.exe”类似。

2019年12月16日,某金融行业人员的电脑上,木马文件随系统服务开机启动。

2019年12月18日,某房地产相关人员,遭受钓鱼攻击。

2020年3月27日,明道云某客服的电脑中招。

2020年4月10日,明道云某用户遭遇针对性钓鱼攻击,用户启动了钓鱼文件之后,黑客会查找明道云的安装目录并释放文件“version.dll”到其根目录下。

文件“version.dll”会对明道云的主程序形成DLL劫持,每当用户启动明道云的时候就会随之加载执行,它的具体功能是和前文的“hid.dll”一样最终注入桌面留下后门。

2020年4月27-28日,明道云官网下载链接被劫持,多例用户电脑被感染。

与明道云官方沟通后,360安全大脑认为,2020年发生的这三起攻击并没有发现直接联系。

从追踪溯源得到的信息不难看出,这个黑客团伙一开始并没有什么具体的目标,受害者涉及各行各业,各个受害者之间明显都没什么关系,但是此次针对明道云的攻击持续了一个多月,与之前打一枪换一个地方的风格相比发生了很大的变化。

对此,360安全大脑在整合后进行了关联与分析,发现这与明道云的独特属性关系密切。

1、高性能服务器能获得“高回报“

明道云的服务对象主要是企业用户,而企业的高性能服务器对于黑客团伙来说一直都很有吸引力。

2、藏毒开发源头实现火速蔓延

其次则是明道云的软件特点,明道云作为一个生产力工具,普通业务人员就能进行开发,门槛低,开发数量多,带着病毒的新模块快速形成二次扩散攻击。

基于以上两点,不难看出黑客团伙认为明道云完全值得他们花费更多的时间和精力去攻击并挖掘潜在价值。

由此可见,随着各类云办公软件逐渐成为办公族们的工作首选,随之而来的网络安全问题也将如同雨后春笋般,油然而生。但360安全大脑通过多种技术手段防御和发现最新木马病毒,且已率先实现对该类木马的查杀,为避免此类攻击的感染态势进一步扩大,360安全大脑建议:

1、及时前往360官网下载安装360安全卫士,可有效拦截查杀各类木马病毒;

2、对于安全软件提示风险的程序,切勿轻易添加信任或退出杀软运行;

3、使用360软件管家下载软件,360软件管家收录万款正版软件,经过360安全大脑白名单检测,下载、安装、升级,更安全。

声明:该文章系我网转载,旨在为读者提供更多新闻资讯。所涉内容不构成投资、消费建议,仅供读者参考。
分享

为你推荐

换一批
中国日报网版权说明:凡注明来源为“中国日报网:XXX(署名)”,除与中国日报网签署内容授权协议的网站外,其他任何网站或单位未经允许禁止转载、使用,违者必究。如需使用,请与010-84883777联系;凡本网注明“来源:XXX(非中国日报网)”的作品,均转载自其它媒体,目的在于传播更多信息,其他媒体如需转载,请与稿件来源方联系,如产生任何问题与本网无关。
版权保护:本网登载的内容(包括文字、图片、多媒体资讯等)版权属中国日报网(中报国际文化传媒(北京)有限公司)独家所有使用。 未经中国日报网事先协议授权,禁止转载使用。给中国日报网提意见:cdoffice@chinadaily.com.cn
中文 | English