返回
暗渡陈仓:披着图片外衣的特洛伊木马

暗渡陈仓:披着图片外衣的特洛伊木马

ID:9398032

大小:23.00 KB

页数:4页

时间:2018-04-30

暗渡陈仓:披着图片外衣的特洛伊木马_第1页
暗渡陈仓:披着图片外衣的特洛伊木马_第2页
暗渡陈仓:披着图片外衣的特洛伊木马_第3页
暗渡陈仓:披着图片外衣的特洛伊木马_第4页
资源描述:

《暗渡陈仓:披着图片外衣的特洛伊木马》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、暗渡陈仓:披着图片外衣的特洛伊木马InfoStealer是一种木马,功能为收集受害计算机系统用户的敏感信息,并将其转发到一个预定的位置,而搜集的信息包含财务信息,登录凭据,密码或者都有,这些信息可能被出售在黑市上。AVAST将其命名为MSIL:Agent-AKP。AD:InfoStealer是一种木马,功能为收集受害计算机系统用户的敏感信息,并将其转发到一个预定的位置,而搜集的信息包含财务信息,登录凭据,密码或者都有,这些信息可能被出售在黑市上。AVAST将其命名为MSIL:Agent-AKP。下面,我们就来看看一个通过exploitkit(全自动攻击工具)部署在受害者电脑上的恶意

2、.NET文件。用反编译器打开该文件后,发现资源中只包含如下干扰图片:以位图方式打开图片,一个像素一个像素的处理。对于每个像素,它并不是非黑即白(ARGB不等于000000000),3种颜色提取并保存在一个列表中,一个值接着一个值,一列接着一列。当我们提取出整张列表后,得到如下的结果。注意MZ标识,正是可执行文件的开头:很明显,我们正在对付一个obfuscator(混淆器),它从位图中转换数据,构造可执行文件。单单的查看这个位图文件,并不能立即意识到它还存储着可执行文件。对照BITMAPINFOHEADER和它的bitHeight项,我们可以看到它的值是0X134。根据文档,如果bi

3、Height是正值,相应的位图就是自底而上的DIB(与设备无关的位图),它的起始点在较低的靠左的位置。下图展示了这个可执行文件的前9个字符是如何隐藏在位图中的。一个像素包含3个字符,随后的下一列是下一组3字符(自底高山美人茶eupai.net而上)。我们发现红色标识的字符正是可执行文件的MZ特征:4D5A90000300000004。仔细观察PayloadPayload从位图中被提取出来,原始文件有两个位图,其中一个解析后是用.NET写的加载器,装载进内存并执行第二个二进制文件。第一个二进制文件通过修改zone.identifier来修改数据流。硬盘上的任何文件都或有无被赋予了:z

4、o玛瑙mnwg.netne:identifier的数据流,它包含了这个原始文件的zone信息。如果文件来自Internet,它的zone值是3;如果来自本地,zone值就是0。这里的恶意文件试图将zone值设为2,表明是URLZONE_TRUSTED。这个区域的存在是由于安全原因考虑。某些程序操作系统可能会报告与此类文件有关的安全信息。第二个汇编码是从第二个位图源文件中提取的。它通过创建Win7zip注册表Uuid值来生成。通过创建[HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions]

5、,运行之后将禁用几个安全方案,将调试器的值设置成一个不存在的exe文件路径,每当用户试图使用受影响的程序时,Windows将运行调试出来的值来代替原本的值,这样就可以成功的禁用此类程序。下图显示了通过修改此注册表项禁用的程序的列表。同样利用修改注册表项禁用安全组件:[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer]。将HideSCAHealth的值设置成1来禁用ActionCenter。Notificationballoons的禁用可以通过修改TaskbarNoNotific

6、ation的注册表项来达成。在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWindowsBackup],修改DisableMonitoring注册表项,可以禁用Windows备份通知。通过对注册表项2500键值进行设置,设置为3-禁用,就可以关闭InternetExplorer的保护模式。如果发现装有如下的FTP软件,就会窃取它们的认证日志:FileZillaSmartFTPCoreFTPFlashFXPWinSCPFTPCommander可以在它的body中看到下列字符:FileZillasitem

7、anager.xmlSmartFTPClient2.0FavoritesSmartFTPSoftwareFTPWareCoreFTPSitesFlashFXPSites.datQuick.datSoftwareMartinPrikrylWinSCP2Sessions%sFTPCommander%sFTPCommanderDeluxeFtplist.txt它同样可以修改注册表项:注册表项[HKEY_LOCAL_MACHINESoftwareJav

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。