您的位置:首页 > 互联网

Torchwood远控木马卷土重来“说好不哭”,360安全大脑上演全面“封杀”!

发布时间:2019-09-18 14:05:17  来源:互联网     背景:

  近期,360安全大脑监测到大量远控木马的传播,经过深度分析,发现该木马是“Torchwood”远控木马的新变种。曾经该木马通过下载网站、钓鱼邮件和QQ群等方式传播,都已被360安全大脑全面查杀,而最近的更新则有卷土重来的迹象。

  这一次该木马再度延用“CHM钓鱼攻击”的传播方式,并配合极具迷惑性的标题,诱导用户打开木马文件,使其在不知不觉中遭受攻击。广大用户不必过分担心,目前360安全大脑已全面拦截该木马的攻击,建议用户及时下载安装360安全卫士保护电脑隐私及数据安全。

  CHM文件“鱼目混珠”潜入系统

   “白加黑”作案手法屡试不爽

  什么是CHM文件呢?大家不要觉得CHM文件很“冷门”,它是经过压缩的各类资源的集合,日常中支持图片、音频、视频、Flash、脚本等内容,因为方便好用、形式多样,也可算是文件格式界里的“经济适用款”,越来越多的电子书、说明文档都采用了CHM格式。在大多数人的印象中,CHM类型文件是“无公害”文档文件,但只要加以利用便可以“鱼目混珠”潜入系统躲过杀软,并发起隐秘攻击。事实上,360安全大脑监测到的多起攻击事件中,都可以看到 CHM 文件的影子,这类手法也被业界形象地称为“白加黑”攻击。

  历史手法,又在重演。本轮攻击中,360安全大脑发现木马作者再次利用了CHM文件,再配上能够引起用户兴趣的敏感标题,然后通过下载网站、钓鱼邮件和QQ群等渠道传播,最终诱导用户打开木马文件,达到控制用户电脑,盗取帐号密码及重要资料等目的。

图片1.jpg

(与“钱财”等有关的诱惑性标题)

  360安全大脑对该CHM文件进一步溯源分析,发现Torchwood远控木马的攻击核心是加入了具有云控功能的HTML脚本。当用户运行虚假的CHM文件后,“精心乔装”的虚假网页访问404图片便会自动弹出,与此同时,潜伏在系统后台已久的攻击程序也同时悄然运行。

图片2.jpg

  360安全大脑对该混淆代码分析,发现其攻击流程如下:

  1、利用certutil.exe 下载一张网站访问404的截图run.jpg,用来欺骗用户。

图片3.jpg

  2、利用certutil.exe 下载压缩后的攻击模块temp1.jpg。

图片4.jpg

  3、利用certutil.exe 下载解压用的WinRar工具helloworld.jpg。

图片5.jpg

  4、运行WinRar工具,用来解压攻击模块,密码为“Tatoo”。

图片6.jpg

  5、用户实际运行的效果,前端利用欺骗性图片迷惑用户,背后则偷偷运行攻击程序。

  整个过程大致如下,完成下载和解压工作后,木马就会进入攻击流程。

图片7.jpg

  具体的攻击代码流程如下:

  1、首先木马作者会启动Perflog.exe文件,该文件是罗技的键鼠管理程序,属于被白利用的正常程序。

图片8.jpg

  2、Perflog.exe会加载黑模块logidpp.dll,这是木马作者经常使用的“白加黑“手法。

图片9.jpg

  3、logidpp.dll是一个PELoader程序,它的任务是在内存中解密bugrpt.log文件,并在内存中加载运行此恶意模块。

图片10.jpg

  4、调用恶意模块的导出函数“Torchwood“,执行远控代码流程。

图片11.jpg

  值得一提的是,此类木马是一个具有下载和内存执行功能的程序,并且可以通过云控的方式运行任意代码。这里,我们主要分析的是其传播远控程序对受害目标进行攻击的过程,可以看到该木马还包含一系列自我保护的功能,以达到长久驻留的目的。

图片12.jpg

(添加注册表,长期驻留)

图片13.jpg

(远控功能)

图片14.jpg

(内置的安全软件检测列表)

  Torchwood 远控木马前有针对杀毒软件的检测躲避大招加持,后有任意代码执行的远控攻击技能傍身,本轮攻击可谓来势汹汹,但360安全大脑通过多种技术手段防御和发现最新木马病毒,且已率先实现对该类木马的查杀,为避免此类攻击的感染态势进一步扩大, 360安全大脑建议:

  1、建议广大用户前往weishi.360.cn,及时下载安装360安全卫士,能有效拦截该木马的攻击,保护个人信息及财产安全;

  2、使用360软件管家下载软件。360软件管家收录万款正版绿色软件,经过360安全大脑白名单检测,下载、安装、升级,更安全;

  3、不要随意下载、接收和运行不明来源的文件,以防中招。

图片15.jpg

  附录IOC

图片16.jpg

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
万兴科技数字创意家族再“添丁”:牵手荣耀全球首发万兴喵影APP
近日,万兴科技(300624.SZ)数字创意家族再“添丁”。5月18日,在荣耀智慧生活新品发布会......
日期:05-21
京东金条助力金融再发展,为消费打造更多的支付选择
突入其来的新冠疫情让大众深刻的意识到了线上购物的方便快捷,网上买菜、网上看病、网上买药、网上点......
日期:08-11
COD16闪退背后有蹊跷,你或许是正版软件的受害者
近期cod16开放了免费的大逃杀模式,吸引了大量用户加入到游戏大军,但是游戏繁荣的背后也发生了大量......
日期:03-17
保护数据安全 创蓝与两会政协委员的观点不谋而合
为期十天的两会已经闭幕,会议期间关于大数据安全的话题不断被提及。全国政协委员谈剑锋说:随着互......
日期:03-15
柔宇二代折叠屏手机3月25日发布
(原标题:柔宇二代折叠屏手机3月25日发布 起售价或不到万元)...
日期:03-19
高德地图公布Q1中国十大堵城:北上广深无一上榜 济南第一
4月17日消息,高德地图联合“国家信息中心大数据发展部” 等机构共同联合发布的《2020年Q......
日期:04-17
找歌达人教你用QQ音乐听歌识曲,和好音乐不期而遇
很多人经常在街头遇上一些十分好听的歌,但因不知道歌名,只能和这些好音乐擦肩而过,今天小编教你使用......
日期:04-30
姗姗来迟的腾讯版“花呗"能否分食支付宝"蛋糕”?
(原标题:腾讯版“花呗”萌动 将分食支付宝“蛋糕”)...
日期:09-18
中兴通讯称已与全球60家运营商达成5G合作协议
北京时间10月25日消息 据外媒报道,中兴通讯高级副总裁James Zhang表示,该供应商已与全球60家运营......
日期:10-25
借智慧社区突围,实地地产进军港股IPO
疫情之下,智慧社区建设浪潮兴起。有分析认为,近期债市融资井喷,在数字经济和健康居住的风口下,......
日期:06-05
新春之际,西瓜视频免费上线经典年代剧《大宅门》
随着假期延长,西瓜视频从2月1日0点起,起免费上线经典年代剧《大宅门》。...
日期:02-02
三星宣布将于6月1日起终止 S Voice 服务
3月27日消息 据IT之家网友投稿,三星在盖乐世社区发布通知,宣布将于6月1日起终止S Voice 服务。...
日期:03-28
达尔优&国家宝藏 ▎感受中国质造的魅力
每一种文明都延续着一个国家和民族的精神血脉,每一件文物背后都有着可歌可泣的故事。...
日期:08-10
Facebook再曝数据泄露事故,波及全球2.67亿用户
北京时间12月20日早间消息,Facebook又出现数据泄露事故。据报道,Facebook一个数据库泄露,里面包......
日期:12-20
一年轻松升职三次的秘诀竟是这个?
近日,一则视频广告出现在三里屯中心地带的广告大屏上。主要内容「一年轻松升职三次,秘诀竟是&ldqu......
日期:05-09
应对疫情挑战,低代码助力立雅展示自主搭建会展企业管理系统
突如其来的新冠肺炎疫情对会展行业带来了诸多挑战,相关企业该如何应对?广州立雅展示设计制作有限公......
日期:04-02
一天成交20套新房 VR带看背后这家德佑门店有何过人之处?
新冠疫情爆发的一个多月,另一个战场也在硝烟弥漫。 由于疫情原因,以面对面沟通为基础的传统房地产经纪行业似乎面临着...
日期:03-12
市场监管总局:加强双11期间市场监管,打击虚假宣传等违法行为
11月8日消息 据国家市场监督管理总局消息,近日,市场监管总局网监司、反垄断局、价监竞争局、中国......
日期:11-08
打赢信息流和小程序之战后,百度搜索完成了生态进化
QuestMobile日前发布的《中国移动互联网2019半年大报告》显示,上半年百度、阿里、腾讯三家公司的用......
日期:08-03
2019北京网络安全大会前瞻:Gartner带来什么信息?
8月21日—23日,2019北京网络安全大会(BCS 2019)将在北京国家会议中心正式召开。日前,BCS 201......
日期:08-14