这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

新聞中心

了解江民最新動態(tài)

高危預(yù)警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬

2019-08-03?來源:安全資訊

僅憑一部電腦就能夠讓電信癱瘓,讓交通堵塞、讓航空秩序崩潰、讓整個城市停電、讓銀行ATM機(jī)吐鈔,能夠影響整個城市甚至國家,神秘的黑客仿佛無所不能。然而,這似乎如同電影場景

僅憑一部電腦就能夠讓電信癱瘓,讓交通堵塞、讓航空秩序崩潰、讓整個城市停電、讓銀行ATM機(jī)吐鈔,能夠影響整個城市甚至國家,神秘的黑客仿佛無所不能。然而,這似乎如同電影場景般的事件僅僅只是現(xiàn)實社會的一角縮影,真正的黑客攻擊遠(yuǎn)比這要復(fù)雜,每一次成功入侵的背后都有著復(fù)雜的計算過程和長期的準(zhǔn)備。一個頂尖的黑客除了擁有頂尖級的技術(shù),還懂得人心騙術(shù),也就是所謂的社會工程學(xué)。

近日,江民赤豹安全實驗室追蹤到,一款名為暗黑彗星(DarkComet)的木馬再次在全球范圍進(jìn)行傳播,攻擊者通過魚叉郵件、下載網(wǎng)站傳播遠(yuǎn)程控制木馬,在全球范圍內(nèi)批量抓“肉雞”以竊取用戶隱私信息、機(jī)密文件,乃至下發(fā)勒索病毒,給用戶造成巨大的網(wǎng)絡(luò)安全威脅。此次被捕獲的其中一個樣本(MD5: 41c75b13dbe7a5c8d6a3a5761b116e9d)是被改造過后的DarkComet木馬控制端程序,幕后攻擊者通過將自己打造的木馬與DarkComet控制端捆綁發(fā)布,當(dāng)其他的攻擊者使用該木馬進(jìn)行“抓雞”行動時,該攻擊者的主機(jī)也已經(jīng)被幕后的發(fā)布者所控制,自身成了“肉雞”大軍的一員,黑客之間也玩起了“黑吃黑”的操作。

高危預(yù)警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬

 

Darkcomet木馬是一款使用Delphi語言編寫的木馬程序,最早被發(fā)現(xiàn)于2008年,又稱“暗黑彗星”。該木馬運(yùn)行后攻擊者擁有該主機(jī)完整的控制權(quán)限,此時的用戶設(shè)備已處于不設(shè)防的高危狀態(tài),攻擊者不僅可以竊取上傳受害者鍵盤輸入、錄音、攝像頭信息等隱私內(nèi)容,還可根據(jù)服務(wù)端遠(yuǎn)程指令執(zhí)行下載、安裝軟件、啟動程序、運(yùn)行腳本等控制操作。同時,攻擊者還可用被控制的電腦作跳板,對其它目標(biāo)發(fā)起DDoS攻擊和下發(fā)勒索軟件。

高危預(yù)警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬

 

江民全球惡意代碼樣本分析平臺數(shù)據(jù)顯示,近三個月來,全球有5244例DarkComet感染事件發(fā)生,波及范圍廣泛,該木馬幕后者可以完全控制,使用該木馬攻擊者和攻擊者所控制的其他“肉雞”,通過捕獲到的樣本文件中的Users遺留的數(shù)據(jù)可以看出來幕后攻擊者已經(jīng)使用該木馬控制了部分主機(jī),分布在阿拉伯國家、西班牙、越南、立陶宛、瑞典、日本、葡萄牙、芬蘭等國家。這種污染上游供應(yīng)鏈的方式,同時也使得幕后人也實現(xiàn)了更高效的“抓雞”行為,其余使用該木馬的攻擊者都淪為了幕后人的“打工仔”,最終幕后人只需要坐收漁利就可以擁有全球大量的“肉雞”,因此也被稱為黑客版的“碟中諜”。

 

高危預(yù)警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬

幕后者控制的部分主機(jī)名

幕后者使用的捆綁木馬也是DarkComet,C&C域名為fuckyoucunt.ddns.net,目前該域名已無效。這個古老的木馬深受攻擊者的青睞,盡管木馬作者于2012年已停止了對“暗黑彗星”木馬的更新,但由于其強(qiáng)大的木馬功能,至今仍有大量攻擊者使用該工具進(jìn)行網(wǎng)絡(luò)攻擊。

高危預(yù)警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬

控制端功能界面

DarkComet在感染后會釋放木馬到:%appdata%\Microsoft\Windows\Templates\下,并設(shè)置其為系統(tǒng)隱藏屬性;隨后啟動木馬進(jìn)程,并將木馬注冊為開機(jī)啟動,使用PE映像切換技術(shù)將木馬隱藏于svchost進(jìn)程中,作為持續(xù)后門,一般情況下用戶很難發(fā)現(xiàn)電腦感染了該木馬。

高危預(yù)警:

感染該木馬后,遠(yuǎn)程攻擊者擁有該主機(jī)完整的控制權(quán),主要包括:

1). 系統(tǒng)性能監(jiān)控、系統(tǒng)信息獲取、系統(tǒng)所屬地區(qū)分析;

2). 文件管理、進(jìn)程管理、注冊表管理、軟件安裝管理、遠(yuǎn)程Shell;

3). 攝像頭監(jiān)控、錄音監(jiān)控、遠(yuǎn)程桌面管理、監(jiān)控鍵盤記錄;

4). 打開端口、網(wǎng)絡(luò)共享管理、打印機(jī)管理、Socks5代理、遠(yuǎn)程下載執(zhí)行;

手工清除方法

1). 打開任務(wù)管理器,找到名為side.exe的進(jìn)程,找到進(jìn)程所對應(yīng)的應(yīng)用程序,刪除該應(yīng)用程序。找到名為svchost.exe但用戶名為當(dāng)前用戶名的應(yīng)用程序,結(jié)束該進(jìn)程;

2). 刪除注冊表項:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\side;

3). 刪除注冊表項:HKCU\Software\DC3_FEXEC。

應(yīng)對措施及建議

1). 不運(yùn)行來源不明的應(yīng)用程序,不要從不可信任站點下載應(yīng)用。對于已經(jīng)停止支持的軟件不從非官方渠道下載使用;

2). 安裝江民防病毒軟件,定期更新病毒庫使其能夠針對最新的變種病毒進(jìn)行查殺。

江民安全專家表示,通過偽裝或者捆綁下載是當(dāng)前互聯(lián)網(wǎng)比較常見的一種傳播惡意代碼的方式,對于非官方渠道提供的下載軟件應(yīng)當(dāng)謹(jǐn)慎使用,最好在使用之前校驗其哈希值,特別是對于已經(jīng)停止維護(hù)的軟件更需要在使用前對其進(jìn)行安全檢查,比較方便的方式是通過殺毒軟件驗證其安全性之后再使用,在一定程度上可以免受惡意代碼的侵害了。

詳細(xì)分析報告請訪問:http://www.tlhnw.com/download/DarkComet.pdf

更多推薦
东丽区| 大英县| 白朗县| 马龙县| 清水县| 宁化县| 平乐县| 迁西县| 房产| 云和县| 筠连县| 贺兰县| 五河县| 彭山县| 井研县| 图木舒克市| 平罗县| 沂水县| 东海县| 吉隆县| 五寨县| 玛多县| 漳平市| 清远市| 饶平县| 共和县| 安丘市| 浮梁县| 东方市| 武夷山市| 渝北区| 合肥市| 常州市| 绥阳县| 邵阳市| 隆昌县| 岳阳县| 确山县| 六盘水市| 浦北县| 昭苏县|