联系我们
  • 公司地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

    联系电话:0752-2072178
    传真:0752-2072168-0 
    邮箱:gdoudi@ouditech.com


隔墙有耳 ,这个恶意软件专门监视知名政治家和企业家
2017-3-2
来源:未知
点击数: 2267          作者:未知
  • Occhionero兄弟”最近火了······

    他是谁?做什么的?

    又发什么大事?

       一系列问题向小编重重砸来。

    别急,听小编娓娓道来!

    近日,意大利警方逮捕了两名被称为“Occhionero兄弟”的意大利人,他们被指控利用恶意软件和定制的鱼叉式钓鱼攻击(SPEAR PHISHING)来监视知名政治家和企业家。这波攻击有着明显的攻击前准备,用意在制作有效的鱼叉式钓鱼攻击(SPEAR PHISHING)诱饵,取得目标的信任,并散播名为“EyePyramid”的恶意软件。通过对该起攻击事件的研究,亚信安全总结了攻击特征,来帮助企业用户完善网络安全防护策略。



    “EyePyramid” 恶意软件

    攻击手段


    首先,攻击者会针对特定域名的电子邮箱(如@gmail.it、@yahoo.com等),窃取受害者联系人的电子邮件帐号。


    其次,攻击者会利用该邮件账号发送恶意邮件,将附加恶意软件原本的扩展名(.exe)变更,并设法以直接或间接的方式感染重点受害者的电脑。


    最后,攻击者在电脑上执行恶意软件时,它会自动更新自己,窃取受害者的电子邮件帐号,并通过HTTP/HTTPS将收集的信息传送到制定的地址,同时将这些电子邮件帐号加到攻击者所用的已入侵帐号列表,以继续散播给其他受害者。


    【EyePyramid感染流程】


    亚信安全发现

    该恶意软件存在以下特征


    持续性


    首次执行时,恶意软件会将自己复制到硬盘上(通常是根目录C:\),使用从随机列表中选出的文件名称,恶意软件会修改CurrentVersion\Run和CurrentVersion\RunOnce代码,将这些代码加入恶意软件路径以确保每次用户登录时都会执行恶意软件,以实现持续性感染。

     

    重复使用程序代码


    EyePyramid恶意软件的一个有趣特性是使用公开的第三方代码或开放的原始代码库,这使得其程序代码往往会在不同的变种中重复使用,但是,并非所有变种都使用相同的程序库组合。


    文件收集


    EyePyramid的主要特性是窃取文件,它会寻找.pst扩展名的文件,该扩展名被各种应用程序(包括Microsoft Exchange客户端,Windows Messaging和Microsoft Outlook)用于储存邮件、备忘录和其他类似信息。


    停用安全软件


    EyePyramid会针对各种安全工具,尝试停用安全软件的即时保护机制,防止防毒相关程序被启动。


    混淆和保护


    恶意软件使用三个工具进行混淆:Skater、Dotfuscator、ConfuserEx。因此,软件会让一般的除错和虚拟机动态分析无法进行,不过识别难度比较低,很多安全软件可以轻松发现。但是,定制化字串加密/混淆被用来处理字串,却让反编译原始代码无法被直接读取。特别是多数样本都用Skater加Dotfuscator用3DES来加密字串,序列化后转成字元组阵列。


    防护建议    

     

    从纯粹的技术角度来看,EyePyramid恶意软件的来源及其更多信息仍在进一步调查获取中,而恶意软件攻击者也会使用多种的机制来掩盖其痕迹(例如模糊、封装、加密、停用安全工具),这在一定程度上加大了防护的难度。亚信安全建议企业用户建立立体化的防御策略,部署更先进、更全面的防护手段。此外,威胁情报共享和定制化解决方案对于防止和识别此类针对性攻击而言越来越重要,亚信安全将全力协助企业用户远离此类风险。



    行业热点:


    【威胁预警】新型木马程序携Mirai强势来袭


    新晋漏洞攻击套件Sundown Exploit Kits分析


    亚信安全带你涨“姿势”:网警如何“抓鬼”?先要搞懂UEBA


    2017都说这个病毒最火,你防得住?


热门评论
  • 暂无信息

验证码: 验证码,看不清楚?请点击刷新验证码

地址:广东省惠州市惠城区东平半岛惠州大道20号赛格大厦1608号

电话:0752-2072178  传真:0752-2072168-0  邮箱:gdoudi@ouditech.com广东欧迪科技有限公司 版权所有

Copyright ©2020 Guangdong Oudi Technology Corporation All Rights Reserved.

粤ICP备16018732号-1

春夜影院试看2分钟