热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

攻击中东欧的间谍工具集20160714反连邮件-http隧道的后门

图1在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术。它的目的是从

图1

在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术。

它的目的是从政府或公共研究机构中窃取特定类型的文件,主要与中东欧的经济增长和合作相关。

这个工具集将双扩展名的可执行文件附加到钓鱼邮件中(指望Windows默认隐藏扩展名),以这种方式进行传播。为了增加让接收者运行的机会,它使用了一些正常的微软应用程序或者Word文档的图标。

一旦成功运行,恶意软件访问一个远程地址,下载工具集中其它两个重要的组件:一个后门和一个数据窃取工具。这些模块互相组合,攻击者不仅可以远程控制被攻下的机器,也可以高效地盗取数据。

使用文件扩展名,创建日期,文件大小以及其它条件,强大的过滤器可以指定要窃取的数据的详细信息。这些条件可以通过恶意软件的配置文件来修改。

由于这个间谍工具集里的所有组件都要与C&C服务器建立连接,恶意软件严重依赖于网络通信。

为了增加通信的机会,它使用了多种连接方法。首先,它尝试使用HTTP协议。如果失败了,SBDH恶意软件会选择第二种方法,尝试通过SMTP协议访问免费的外部网关。

最后的手段,它可以通过向Micrsoft Outlook Express注入一个构造的邮件来通信。在这种方式下,会以当前登录用户的身份发送注入的邮件。恶意软件可以绕过安全防护措施(假设用户有权限发送和接受邮件)。为了避免被发现,恶意软件产生的恶意消息会在发送之后直接移动到受害者的发件箱中。

在接收命令时。恶意软件搜索受害者的收件箱,识别特定主题的邮件。如果工具集找到了这样的邮件,他们解析并检查恶意软件的命令。最后,修改这些邮件的主题,防止被恶意软件再次检查到。

然而,最后一个方法只用到了2006年,那年,新的Windows Mail application代替了outlook Express。在那之后,工具集的开发者将注意力集中到了改进HTTP通信方法上,开始使用伪造的图像文件承载数据,来掩饰与C&C服务器的通信。

以防C&C服务器的不能访问,后门组件还有另外一个备选方案,一个硬编码的指向图片的URL,图片包含了C%C服务器的地址。

这个工具的一些样本使用了一个有趣的驻留方法,恶意软件替换了Word文档的处理程序,当感染的系统尝试打开或编辑Word文档的时候,恶意软件就会执行。

最后,这个工具集的名称的来源。在下载者的编译路径中发现了“SBDH”字符串,而且“B64SBDH”字符串作为一个触发器,会触发从远程服务器下载其它剩下的组件。

SBDH间谍工具集说明,即便是高级威胁任然使用简单的攻击向量进行传播,比如恶意的邮件附件。当然,经过适当培训的员工可以认出这个危险行为,通过实现一个多层次的安全解决方案可以避免被攻击的危险。

哈希

1345B6189441CD1ED9036EF098ADF12746ECF7CB

15B956FEEE0FA42F89C67CA568A182C348E20EAD

F2A1E4B58C9449776BD69F62A8F2BA7A72580DA2

7F32CAE8D6821FD50DE571C40A8342ACAF858541

5DDBDD3CF632F7325D6C261BCC516627D772381A

4B94E8A10C5BCA43797283ECD24DF24421E411D2

D2E9EB26F3212D96E341E4CBA7483EF46DF8A1BE

09C56B14DB3785033C8FDEC41F7EA9497350EDAE

*本文翻译自:http://www.welivesecurity.com/2016/07/01/espionage-toolkit-targeting-central-eastern-europe-uncovered/,译者:felix,转载须注明来自FreeBuf(FreeBuf.COM)


推荐阅读
  • 转自:http:www.yybug.comread-htm-tid-15324.html为什么使用Twisted? 如果你并不准备使用Twisted,你可能有很多异议。为什么使用T ... [详细]
  • 本文介绍了如何利用 Spring Boot 和 Groovy 构建一个灵活且可扩展的动态计算引擎,以满足钱包应用中类似余额宝功能的推广需求。我们将探讨不同的设计方案,并最终选择最适合的技术栈来实现这一目标。 ... [详细]
  • Windows 7 64位系统下Redis的安装与PHP Redis扩展配置
    本文详细介绍了在Windows 7 64位操作系统中安装Redis以及配置PHP Redis扩展的方法,包括下载、安装和基本使用步骤。适合对Redis和PHP集成感兴趣的开发人员参考。 ... [详细]
  • Linux环境下Redmine快速搭建指南
    本文将详细介绍如何在Linux操作系统中使用Bitnami Redmine安装包快速搭建Redmine项目管理平台,帮助读者轻松完成环境配置。 ... [详细]
  • Python处理Word文档的高效技巧
    本文详细介绍了如何使用Python处理Word文档,涵盖从基础操作到高级功能的各种技巧。我们将探讨如何生成文档、定义样式、提取表格数据以及处理超链接和图片等内容。 ... [详细]
  • 本文详细介绍了如何在预装Ubuntu系统的笔记本电脑上安装Windows 7。针对没有光驱的情况,提供了通过USB安装的具体方法,并解决了分区、驱动器无法识别等问题。 ... [详细]
  • 本文介绍了在Java环境中使用PDFBox和XPDF工具从PDF文件中提取文本内容的方法。重点讨论了处理中文字符集及解决相关错误的技术细节,特别是针对某些特定格式的PDF文件(如网上填写的报名表和下载的论文)遇到的问题及解决方案。 ... [详细]
  • 实用正则表达式有哪些
    小编给大家分享一下实用正则表达式有哪些,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下 ... [详细]
  • 主板IO用W83627THG,用VC如何取得CPU温度,系统温度,CPU风扇转速,VBat的电压. ... [详细]
  • 深入解析Serverless架构模式
    本文将详细介绍Serverless架构模式的核心概念、工作原理及其优势。通过对比传统架构,探讨Serverless如何简化应用开发与运维流程,并介绍当前主流的Serverless平台。 ... [详细]
  • 深入解析Java虚拟机(JVM)架构与原理
    本文旨在为读者提供对Java虚拟机(JVM)的全面理解,涵盖其主要组成部分、工作原理及其在不同平台上的实现。通过详细探讨JVM的结构和内部机制,帮助开发者更好地掌握Java编程的核心技术。 ... [详细]
  • 本文将详细介绍多个流行的 Android 视频处理开源框架,包括 ijkplayer、FFmpeg、Vitamio、ExoPlayer 等。每个框架都有其独特的优势和应用场景,帮助开发者更高效地进行视频处理和播放。 ... [详细]
  • ElasticSearch 集群监控与优化
    本文详细介绍了如何有效地监控 ElasticSearch 集群,涵盖了关键性能指标、集群健康状况、统计信息以及内存和垃圾回收的监控方法。 ... [详细]
  • 前言Git是目前最流行的版本控制系统,在它的基础之上,GitHub和GitLab成为当前最流行的代码托管平台,它们均提供的代码评审、项目管理、持续集成等功能,越来越多的互联网企业都 ... [详细]
  • 本文详细介绍了如何在Ubuntu系统上快速安装和配置Bitnami版本的GitLab,包括下载安装文件、执行安装过程以及设置邮件服务等步骤。 ... [详细]
author-avatar
锦瑟刻下两段缠绵
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有