一位俄罗斯专家说出惊人真相:特殊时刻,中国为何还能容忍美国?背后隐藏着一个惊天计划!
目录:
- 鼠标点击监控并不是一项新的检测逃避技术,但是过去使用它的恶意软件通常会检查一次鼠标点击,荣华说。 BaneChant在继续解密一个URL并下载伪装成.jpg图像文件的后门程序之前至少等待三次鼠标点击。
FireEye研究员Chong Rong Hwa周一在一篇博客文章中称,“我们怀疑这份武器文件被用来瞄准中东和中亚政府。”
[进一步阅读:如何从Windows PC中删除恶意软件]
多阶段攻击
攻击分多个阶段进行。恶意文档通过在启动第二个攻击阶段之前等待查看是否有任何鼠标活动,下载并执行一个组件,以尝试确定操作环境是否为虚拟化组件,如防病毒沙箱或自动恶意软件分析系统。鼠标点击监控并不是一项新的检测逃避技术,但是过去使用它的恶意软件通常会检查一次鼠标点击,荣华说。 BaneChant在继续解密一个URL并下载伪装成.jpg图像文件的后门程序之前至少等待三次鼠标点击。
该恶意软件还采用了其他检测逃避方法。例如,在攻击的第一阶段,恶意文档从ow.ly URL下载dropper组件。 Ow.ly不是一个恶意域名,而是一个URL缩短服务。
使用这项服务的基本原理是绕过目标计算机或其网络上活跃的URL黑名单服务,荣华说。 (另请参见“垃圾邮件滥用者.gov网址缩短服务in home-home-scams”。
同样,在攻击的第二阶段,恶意.jpg文件将从使用No-IP动态生成的URL下载域名系统(DNS)服务
在第一个组件加载后,.jpg文件在“C: ProgramData Google2 ”文件夹中放置一个名为GoogleUpdate.exe的副本,同时创建一个链接添加到用户启动文件夹中的文件中,以确保在每次重新启动计算机后执行该文件
这是试图诱使用户认为该文件是Google更新服务的一部分,该服务是通常安装的合法程序在“C: Program Files Google Update ”下,Rong Hwa表示:
后门程序将系统信息收集并上传到命令与控制服务器,还支持多种命令,包括下载和执行受感染计算机上的其他文件。
随着防御技术的进步,恶意软件也会e荣华说。在这种情况下,恶意软件使用了许多技巧,包括通过检测人类行为来逃避沙盒分析,通过执行可执行文件的多字节XOR加密,伪装成合法进程,逃避网络级二进制提取技术,通过使用无文件恶意代码直接加载到内存中,并通过URL缩短和动态DNS服务使用重定向防止自动化域黑名单,“他说。
