“看门狗”病毒向商户发起攻击360安全卫士24小时定向防御

通联网络是国内著名的虚拟主机和域名注册提供商。独创的第6代虚拟主机管理系统,拥有在线数据恢复、Isapi自定义,木马查杀等30余项功能.千M硬件防火墙,为您保驾护航!双线虚拟主机确保南北畅通无阻!

“看门狗”病毒向商户发起攻击360安全卫士24小时定向防御

2022年5月19日 云服务器 0

9月中旬以来,360安全大脑监测到多起针对商户和股民的网络木马攻击事件。360高级威胁研究分析中心追踪分析发现,此次攻击的手法和使用的文件特征与“看门狗”病毒如出一辙,几乎可以认定是“看门狗”团伙所为。对此,360安全团队提醒用户应及时下载安装360安全卫士,从而在第一时间拦截查杀此类木马威胁。

据悉,“看门狗”又称“金眼狗”,曾广泛受到国内外安全厂商的关注和报道,其主要攻击目标为东南亚博彩行业,并惯于使用Telegram等软件进行传播。而此次发起攻击的木马同样是通过通讯软件(如Telegram)和钓鱼网站进行传播,甚至就连木马执行方法也同样是通过lnk文件执行脚本,进而发起断网攻击等方式向受害机器植入远控木马并实现持续驻留的。故此,360安全团队认为这是“看门狗”团伙针对商户和股民发起的新一波攻击。

经溯源,360安全团队还找到下发木马压缩包的恶意网站IP为144.48.8.72,由此可反查到该IP的两个域名两个恶意域名均在今年9月份进行注册,并且从域名的拼写来看,应该是在模仿第三方在线支付解决方案网站和hlspay.com(已过期)进行的域名注册。

而通过通讯软件群组进行传播的木马也会根据所在群组特征有针对性的修改为对特定群体更具吸引力的名称进行投放,比如分析人员就曾捕获到其经使用了“茅台集团户外广告资源采购- 禁止外传 内部使用需申请.zip”的文件名进行传播。不过,所说传播方式五花八门,但其下发的木马是一致的。以钓鱼网站下发为例,当用户访问攻击者设置的钓鱼网站时将会看到相同的如下登录界面:

不管是“点击此处更新防护盾”还是输入账号密码“安全登录”,最终都会从URL:index_files/ouyipay.zip处下载到名为ouyipay.zip的恶意压缩包资源。而压缩包ouyipay.zip仅包含一个可执行文件文件,即ouyipay.exe。值得一提的是,分析人员所下载到的文件编译时间为9月15日,而在撰写这篇报告的同时,木马仍在不断更新。

该木马完成在C:\programdata\的释放后,会立即执行如下这段powershell命令,从而完成以下工作:

(1)利用DCOM接口对象ShellWindows,执行系统命令断开网络连接;

其中,svchosts.exe程序被启动后,会再释放处officeexp.exe、office.exe并执行。释放的两个文件功能相似,均具有齐全的远控功能,支持进程操作、文件操作、键盘记录、信息窃取、截屏、代理、横向移动、驻留机器等功能。

通过一系列复杂操作,该木马最终可实现其释放的远控程序svchosts.exe的长期内存驻留。而攻击者可以在后续的操作中,利用驻留内存的木马进一步收集用户信息,并发起新一轮渗透攻击,从而对用户信息和财产安全造成巨大威胁。

不过,用户也无需过于担忧。在360安全大脑的极智赋能下,360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时,针对此类威胁360安全大脑给出如下安全建议:

1. 对于个人用户,可及时前往载安装360安全卫士,强力查杀此类病毒木马;

2. 对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;

3. 企业360情报云的ioc检测、发现能力已经全面集成到本地大脑、asia、安全DNS等产品中,用户可以通过采购这些产品获取高效及时的最新威胁情报支持,提升安全产品防御能力;

4. 目前360沙箱云已对外提供公开服务,可及时前往ata.360.cn在线体验。通过沙箱云可以快速准确对可疑样本完成自动化分析,帮助企业管理员更好应对企业内部面临的安全问题;

6. 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合。

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

发表回复

您的电子邮箱地址不会被公开。