您好、欢迎来到现金彩票网!
当前位置:秒速牛牛开奖 > 通道命令 >

恶意软件Carbanak利用谷歌来做命令控制服务器通道

发布时间:2019-05-20 18:14 来源:未知 编辑:admin

  Forcepoint安全研究人员警告道:声名狼藉的Carbanak恶意软件如今能用谷歌服务来做C&C通信了。

  Carbanak黑客团伙(亦称Anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化Office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。

  Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。

  该文档内嵌包含有VBScript文件的OLE对象。用户打开文档时,会看到一幅用以隐藏该内嵌OLE对象并诱使受害者点击的图片。一旦用户双击图片,就会弹出一个“unprotected.vbe”的文件打开对话框,要求用户运行之。运行动作导致的就是恶意软件的执行。

  越来越多的网络罪犯弃用恶意宏,转而开始使用微软Office的对象链接和嵌入(OLE)功能来投放恶意软件。2016年6月微软就警告过这种方法,但最近观察到的一次键盘记录攻击活动中,这种方法也在列。

  攻击中,Carbanak团伙将恶意软件以编码VBScript文件的形式打包到RTF文档中。据Forcepoint称,虽然这是该团伙惯用的典型恶意软件,攻击中还出现了一款新的“ggldr”脚本模块。该模块与其他各种VBScript模块经Base64编码后嵌入在主VBScript文件中,旨在将谷歌服务利用为其C&C信道。

  “ggldr”脚本会与 Google Apps Script、Google Sheets 和 Google Forms 服务通信,收发指令,还会为每个被感染用户创建 Google Sheets 电子表格以进行管理。使用类似合法第三方服务,让攻击者具备了大隐隐于市的能力。这些托管谷歌服务一般不太可能被公司默认封禁,因而攻击者也更有可能成功建立起C&C信道。

  Carbanak团伙一直在找隐蔽技术以规避检测。用谷歌作为独立C&C信道,比使用新创建的域名或没信誉的域名要成功得多。

http://4kci.com/tongdaomingling/49.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有