恶意软件释放多个恶意有效载荷澳门威利斯人手

自 2018 年 8 月以来,我们一直在监控名为 Rietspoof 的新恶意软件。Rietspoof 是一种新的多阶段恶意软件,具有一些非常引人注目的特性和功能。当我们刚开始跟踪 Rietspoof 时,它每月更新一次。但是,在 2019 年 1 月,我们注意到其更新节奏更改为了每日。

说到配电脑对于有一定电脑基础的朋友来说其实很简单,因为电脑说白了就是主板、CPU、内存、硬盘、显卡、电源和机箱散热的组合。但是在这些配件里面还是有一些配件很容易被忽悠的,尤其是对电脑小白来说。

2 月 21 日,砍柴网获悉同城货运平台货拉拉日前宣布已完成 3 亿美元 D 轮融资 。本轮融资由高瓴资本 D1 轮领投、红杉资本中国基金 D2 轮领投,钟鼎资本、PV Capital 跟投,顺为资本、襄禾资本、MindWorks Ventures、零一创投等老股东也持续跟投,光源资本担任本次融资的独家财务顾问。

Rietspoof 利用多个阶段,结合各种文件格式,分发更多样化的恶意软件。我们的数据表明,第一阶段是通过即时消息客户端(如 Skype 或 Messenger)分发的。它分发了一个高度混淆的 Visual Basic 脚本,其中包含一个硬编码和加密的第二阶段——一个 CAB 文件。CAB 文件扩展为可执行文件,该文件大多使用 Comodo CA 颁发的有效证书进行数字签名。在第 4 阶段 .exe 安装一个下载程序。

澳门威利斯人手机版 1

货拉拉方面表示,此次融资将主要用于已有业务在中国大陆及东南亚、印度市场的扩张,以及企业版、汽车销售等新投入业务的纵深发展。

有趣的是,第三阶段使用简单的 TCP 协议与 C&C 进行通信,其 IP 地址在二进制文件中是硬编码的。该协议使用 AES-CBC 模式加密。在第一版中,我们观察到密钥是从初始握手中获得的,而在第二版中,它是从硬编码的字符串中派生出来的。在第二版中,协议不仅支持自己的 TCP 协议,而且还尝试利用 HTTP/HTTPS 请求。考虑到改变通信协议所需的工作量,很少看到 C&C 通信协议被修改到这种程度。虽然改变混淆方法很常见,但 C&C 通信在大多数恶意软件中通常保持相对稳定。

Diy主机

货拉拉于 2013 年创始于香港,以平台模式连接车货两端,提供 " 互联网 +" 同城物流服务。2014 年,货拉拉进入中国大陆,并始终坚持大陆与海外市场的双线发展,截至目前,货拉拉平台已经拥有注册司机 300 万以上,并服务于 2800 万用户。

此下载程序使用本地协议从硬编码地址获取另一个阶段。虽然 Stage 3 协议包括 bot 功能,但 Stage 4 仅作为指定的下载程序。

下面依依酱就要给大家讲解一下配电脑最容易被忽略的两个重要部件,也是电脑城奸商最喜欢缩水的两样部件。组装机第一坑:主板

澳门威利斯人手机版 2

此外,C&C 服务器仅与设置为 USA 的 IP 地址通信,这使得我们认为攻击者正在针对特定目标进行攻击,或者攻击者仅出于测试原因使用 USA IP 范围。并且,有可能还有更多阶段尚未公布。以下是我们迄今为止的全面分析结果。

可能和小白们想的不太一样,难道不是CPU么?其实CPU倒是最不容易担心被坑的地方,因为CPU很难造假,并且CPU除了盒装和散片还有二手之外很难缩水,即便是碰上了散片和二手件性能也不会有任何影响。但是主板就不一样了,主板里面型号众多,并且混杂着很多电商专供版所以说主板比CPU更容易坑人,所以在购买主板的时候一定要买扩展性好和供电好的主板。判断主板扩展性最简单的方法就是挑4内存槽的并且PCI插槽多的主板,这能在一定程度上保证主板的扩展性,而供电好的主板最简单的方法就是看供电模组上的散热片,供电好的主板上下都会有散热片。

一、VBS 混淆 & 释放嵌入文件

澳门威利斯人手机版 3

Visual Basic 脚本的第一部分是用于读取和反混淆嵌入式二进制文件的函数。

覆盖供电散热盔甲的主板

澳门威利斯人手机版 4

以上就是小白最简单易懂的挑选一块主板的方法了,毕竟供电好和扩展性强势挑选主板的最主要目的。组装机第二坑:电源

从这个代码片段中可以看出,脚本开始以特定的偏移量读取代码,对 CAB 文件进行反混淆处理并为下一阶段作准备。代码逐字符转换为 ANSI 值并添加到 countervariable。在每一步,计数器与 val_01进行异或,并附加到已解码的字节。有趣的是,在每一步中,字符串 var_str_01 也会附加到 var_str_02。

至于电源真的是最容易忽略的配件之一了,因为他不会像显卡和CPU一样的影响电脑性能,也不会像主板那样显眼,所以电源对于小白来说没什么好与坏的概念,那么如何简单的挑选一款电源呢?首先是品牌,比如说振华、安钛克、台达、鑫谷、海盗船、酷冷这些,除了这些还有先马、航嘉、长城的一系列电源品牌。除了电源外就是功率了,保险起见现在额定500W左右的电源就可以很好供起一台性能主机了,但是这个瓦数上还有很大的坑,比如80Plus认证,有金牌有铜牌,还有白牌。当然是金牌最好了!

澳门威利斯人手机版 5

澳门威利斯人手机版 6

在此步骤之后,var_str_02 将用作新函数的参数。第二个参数是 TempPath 加文件名:

80Plus认证电源标志

澳门威利斯人手机版 7

所以电源这里总结一下最好买带有80Plus认证的金牌500W左右的电源,如果能够达到1元1瓦最好,达不到就尽量挑贵的买,这东西可是一分钱一分货!

在此阶段,CAB 文件将以 "JSWdhndk.sjk" 名称保存到计算机的 Temp 文件夹中。需要从中提取后续阶段,这通过使用 expand.exe 来完成:

关于其余配件并不是没有坑,只是说大家只要选择大品牌的坑就不会很大,但是主板和电源即使你选择了大品牌没选择好型号坑还是一样深,所以说依依酱就先从主板和电源上给小白科普一下,以上并没有带任何参数只是从表面可以 看得见的地方让小白最简单的选择还说的过去的配件。所以说大家如果还有补充欢迎留言讨论哦!

二、执行 PE 和掩盖痕迹

该脚本首先通过简单地读取注册表项 "HKEY_USERSS-1-5-19EnvironmentTEMP" 来检查登录的用户是否为 Admin。如果成功,则将 func_read_Registry 设置为 True。

当此标志设置为 True 时,VBS 将日期更改为 01-01-2109,从%TEMP%删除 CAB 文件,运行扩展的可执行文件,并删除原始脚本以掩盖其痕迹。然后,它将日期更改回实际日期。在未释放文件的脚本中不使用具有 2109 年的日期。一开始,我们认为这只是一个错字,预计的临时日期是 01-01-2019,但该假设没有得到证实。

澳门威利斯人手机版 8

恶意软件作者的一个有趣举措是使用 cmd / c 从命令行运行命令。看一下这个命令的描述:

这很可能是想通过使用执行的命令生成更多命令来破坏行为检测。

即使跳过上一步,如果当前用户不是 admin,则接下来运行扩展的 PE 文件。首先,该脚本删除计划任务 Microsoft Windows DOM 对象帮助程序。这是由恶意软件作者完成的,以确保他们可以在计划任务中创建一个新值,该任务指向前一阶段扩展的扩展 PE 文件 ; 它被设置为在一分钟后执行。然后从%TEMP%目录中删除 CAB 文件。

三、增加持久性

在新版本的 VBS 中,恶意软件作者从 2019 年 1 月 22 日开始添加了一个新的持久性功能。该脚本在启动时创建一个名为 WindowsUpdate.lnk 的新 LNK 文件。此 lnk 文件在启动后运行扩展的 PE 文件,以确保在重新启动计算机时可执行文件。

澳门威利斯人手机版 9

四、签名

几乎每个版本的 VBS 文件都包含一个新证书,例如:

本文由澳门威利斯人手机版发布于科学,转载请注明出处:恶意软件释放多个恶意有效载荷澳门威利斯人手

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。