中国领先的IT技术网站
|
|

恶意软件Carbanak利用谷歌来做命令控制服务器通道

Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。

作者:佚名来源:安全牛|2017-02-06 16:20

沙龙活动 | 去哪儿、陌陌、ThoughtWorks在自动化运维中的实践!10.28不见不散!


Forcepoint安全研究人员警告道:声名狼藉的Carbanak恶意软件如今能用谷歌服务来做C&C通信了。

Carbanak黑客团伙(亦称Anunak)最早在2015年曝光,所用恶意软件主要针对金融机构,是个经济利益驱动的黑客组织。首次发现时,该团伙据称从30个国家的上百家银行盗取了高达10亿美元资金。针对性恶意软件是该团伙一直采用的攻击方式。近期研究人员发现,某利用托管在镜像域名上的武器化Office文档进行恶意软件投放的攻击行动中,该恶意软件也有现身。

Forcepoint安全实验室最近分析的攻击也沿用了类似的途径:利用RTF文档投放Carbanak恶意软件。该文档打包进了经编码的VBScript脚本,该脚本之前与Carbanak恶意软件相关联。

该文档内嵌包含有VBScript文件的OLE对象。用户打开文档时,会看到一幅用以隐藏该内嵌OLE对象并诱使受害者点击的图片。一旦用户双击图片,就会弹出一个“unprotected.vbe”的文件打开对话框,要求用户运行之。运行动作导致的就是恶意软件的执行。

越来越多的网络罪犯弃用恶意宏,转而开始使用微软Office的对象链接和嵌入(OLE)功能来投放恶意软件。2016年6月微软就警告过这种方法,但最近观察到的一次键盘记录攻击活动中,这种方法也在列。

攻击中,Carbanak团伙将恶意软件以编码VBScript文件的形式打包到RTF文档中。据Forcepoint称,虽然这是该团伙惯用的典型恶意软件,攻击中还出现了一款新的“ggldr”脚本模块。该模块与其他各种VBScript模块经Base64编码后嵌入在主VBScript文件中,旨在将谷歌服务利用为其C&C信道。

“ggldr”脚本会与 Google Apps Script、Google Sheets 和 Google Forms 服务通信,收发指令,还会为每个被感染用户创建 Google Sheets 电子表格以进行管理。使用类似合法第三方服务,让攻击者具备了大隐隐于市的能力。这些托管谷歌服务一般不太可能被公司默认封禁,因而攻击者也更有可能成功建立起C&C信道。

恶意软件第一次尝试使用用户唯一感染ID连接硬编码的 Google Apps Script URL 时,C&C会响应说该用户不存在电子表格。然后,恶意软件会发送两个请求到另一个硬编码的 Google Forms URL 以为该受害者创建唯一的 Google Sheets 电子表格和 Google Forms ID。下一次再访问 Google Apps Script,C&C就会响应这些唯一的信息了。

Carbanak团伙一直在找隐蔽技术以规避检测。用谷歌作为独立C&C信道,比使用新创建的域名或没信誉的域名要成功得多。

【编辑推荐】

  1. 使用Tamper Data登录zabbix服务器并实施安全检查
  2. 玩出C&C服务器地址隐身的新花样,看看这个恶意软件怎么做的
  3. 白帽黑客发现上帝模式共享服务器数据库漏洞
  4. 威胁趋势预警:Carbanak网络犯罪团伙开始瞄准酒店和餐饮业
  5. Switcher利用流氓DNS服务器攻击路由器
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

PHP和MySQL Web开发(原书第3版)

本书将介绍如何创建可交互的Web站点,包括从最简单的订单表单到复杂的安全电子商务站点。而且,读者还将了解如何使用开放源代码技术来实现...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× Python最火的编程语言