Duuzer特洛伊木马:针对韩国组织的新后门
相关标签: # 恶意软件# 技术# 设备# 软件# 信息
"多泽“正如研究人员所说,它一直以韩国和其他地方的组织为目标,试图窃取有价值的信息。
该特洛伊木马旨在感染运行Windows 7、Windows Vista和Windows XP的32位和64位计算机。
Duuzer允许攻击者远程访问受损的计算机,允许他们:
- 收集系统和驱动器信息
- 创建、枚举和结束流程
- 访问、修改和删除文件
- 上传和下载其他文件
- 更改文件的时间属性
- 执行恶意命令
- 从受感染的系统窃取数据
- 了解受害者的操作系统
Duuzer通过鱼叉网络钓鱼或水坑攻击感染
目前尚不清楚恶意软件是如何传播的,但据赛门铁克研究人员称,最明显的途径是钓鱼攻击运动和水坑攻击。
一旦被感染,Duuzer会检查系统是否在虚拟机上运行,比如VMWare或虚拟盒确保安全研究人员在执行恶意程序之前不会分析恶意软件。
此外,特洛伊木马识别配置为在启动时运行的现有软件,并以受感染计算机上的合法软件的名称命名,并在整个系统中传播。
Duuzer首次在机器上设置后门,允许攻击者物理访问系统。
然后,攻击者通过后门在受影响的计算机上手动运行命令。它们可以执行上述各种操作。
“根据我们对Duuzer的分析,威胁背后的攻击者似乎经验丰富,并且了解安全研究人员的分析技术。”研究人员说。“他们的动机似乎是从目标电脑上获取有价值的信息。”
还检测到“Brambul”蠕虫和“Joanap”特洛伊木马
研究还发现了一种滴管,这种滴管会让电脑感染一种名为布拉姆布尔还有一个后门特洛伊木马叫乔纳普。这两种方法大多协同工作,通常用于远程记录和监控受感染的系统。
目前尚不清楚滴管是如何分配的;然而,据信它来自恶意电子邮件。
蠕虫被检测为W32。土豆通过服务器消息块(SMB)从一台计算机传播到另一台计算机的协议。
一旦感染,Brambul蠕虫会连接到本地网络上的随机IP地址,并通过SMB使用常见密码(如“密码”、“登录”、“123123”、“abc123”和“iloveyou”)进行身份验证
除了通过SMB攻击其他计算机外,Brambul还在受损计算机(通常是系统驱动器)上创建网络共享,然后将计算机的详细信息和登录凭据发送到预定义的电子邮件地址。
Duuzer、Brambul和Joanap之间的连接
据赛门铁克称,Duuzer与Joanap和Brambul都有联系......但是怎么做呢?
一旦被感染,Brambul会在被感染的机器上投放其他恶意软件,如Duuzer或Joanap。
感染Brambul的系统被用作Duuzer的指挥和控制(CnC)服务器,也被Duuzer破坏。
如果删除Joanap,特洛伊木马将注册为本地操作系统服务,名为“智能卡保护器”特洛伊木马会打开受损机器上的后门并启动:
- 向攻击者发送特定文件
- 保存或删除文件
- 下载和执行文件
- 执行或终止进程
- 传播从CnC服务器
如何摆脱这支军队?
尽管Duuzer、Brambul和Joanap只是影响韩国组织的众多威胁中的一小部分,风险水平非常低。
但仍然建议用户和企业通过以下步骤保持自身安全和保护,并防止其系统受到该恶意软件的危害:
- 使用防火墙来阻止从Internet到不应公开的服务的所有传入连接。
- 默认情况下,您应该拒绝所有传入连接,只允许您明确希望向外部世界提供的服务。
- 使用复杂的密码,因为这样很难破解。
- 如果移动设备不需要蓝牙,请关闭蓝牙。此外,关闭目前不需要的其他服务。
- 培训您的员工不要打开电子邮件或邮件附件,除非他们希望这样做。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
