News

　　近期，安天 CERT 监测到匿影僵尸网络正在利用软件下载站 微当下载 进行传播，目前我国已有近两千台设备受其感染。

　　攻击者将恶意代码伪装成多个实用软件上传到微当下载站，软件被受害者下载并执行后会创建一个服务项，功能为从指定 C2 服务器下载后续攻击载荷。该载荷会尝试注入到其它进程并继续下载新的攻击载荷，新载荷功能为利用漏洞尝试横向传播，并在入侵成功的计算机内创建一个计划任务，实现持久化驻留。

　　匿影僵尸网络首次被发现于 2019 年 3 月，早期利用永恒之蓝漏洞传播挖矿木马，而后也开始传播勒索软件 [ 1 ] 、窃密木马。匿影僵尸网络为了躲避安全软件检测，攻击过程中下载的恶意载荷均不落地，直接在内存中执行。本次捕获的匿影僵尸网络变种目前除了横向传播外，暂未发现其它恶意功能，推测其当前处于扩散阶段，为了减少被发现的可能性，故未下发其它类型的恶意代码。由于攻击流程中的恶意代码均通过网络下载获取，因此攻击者可随时更改攻击载荷（如勒索、挖矿、窃密等不同目的的攻击载荷），给受害者造成更大损失。

　　为有效防御此类恶意代码，提升安全防护水平，安天建议企业采取如下防护措施：

　　（2）加强口令强度：避免使用弱口令，建议使用 16 位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

　　（3）部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

　　（1）建议使用官方网站下载的正版软件。如无官方网站建议使用可信来源进行下载；

　　（2 建议使用沙箱环境执行可疑的文件，在确保安全的情况下再使用主机执行。安天追影威胁分析系统（PTA）采用深度静态分析与沙箱动态加载执行的组合机理，可有效检出分析鉴定各类已知与未知威胁。

　　（1）联系应急响应团队：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天 7*24 小时服务热线：。

　　经验证，安天智甲终端防御系统（简称 IEP）可实现对该窃密木马的有效查杀。

　　攻击者将恶意代码伪装成 DirectX 修复工具、图吧工具箱等实用软件，上传到软件下载站 微当下载 。

　　下载后会得到一个名为 DirectX.Repair_4.1.0.30770_Enhanced.Edition 的压缩包。为了使受害者放松警惕，压缩包中除了伪装成修复工具的恶意代码外，还包括更新日志、技术文档和网站链接等常见配套文件。

　　通过查看文件详细信息，其原始文件名为 加入任务计划 .exe，并且文件大小仅为 3.08MB，而网站上标出的软件大小则为 116.58MB。

　　样本运行后从资源节读取并释放 C:Windowsnssm.exe（一款名为 NSSM 的第三方系统服务管理工具），还会启动正常的 DirectX 修复工具作为伪装。

　　使用释放的 NSSM 工具创建服务项 nssmsevr，服务的功能为调用 PowerShell 下载并执行后续载荷。

　　目前，该链接会重定向到 ，其中包含的代码经过多层混淆编码处理，功能为从服务器下载两个伪装为图片的恶意载荷。src=图 5 3 服务项功能

　　注入的攻击载荷主要功能为横向传播，除了使用内部嵌入的多个用于漏洞扫描、口令爆破的脚本外，还会下载其它攻击脚本并执行。

　　入侵系统后会植入一个名为 shell 的计划任务，每隔一段时间调用 PowerShell 下载并执行 的内容。

　　src=图 5 8 被横向入侵成功的设备中植入名为 shell 的计划任务

　　由于攻击流程中的恶意代码均通过网络下载获取，因此攻击者可随时更改攻击载荷（如勒索、挖矿、窃密、横向攻击等不同目的的攻击载荷），给受害者造成更大损失。

　　2022 年 315 晚会曝光了软件下载网站强制弹出、捆绑安装、诱骗下载等乱象 [ 2 ] ，众多涉及到的下载站立即下架了原有的 高速下载 等功能，但这并不代表整改之后下载站上的资源都是绿色健康的。例如在本次攻击活动中，匿影僵尸网络伪装成多个实用软件上传到微当下载站。用户一旦通过搜索引擎检索此类工具，即有可能下载并执行伪装好的恶意代码。用户应时刻保持警惕，建议使用官方网站下载正版软件，如无官方网站建议使用可信来源进行下载，并在下载完成后第一时间采用终端防御系统实施安全性检测，不轻易打开未经安全检测的压缩包文件或运行未经安全检测的可执行程序。

上一篇：新易盛：近年来公司产品在数据中心应用领域的销售收入持续增长高速率光模块产品销售占比在持续提升 下一篇：上海市防伪技术产品测评中心PPS粗糙度仪采购项目比选公告