呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：Mega木馬分析報告摘要：下一代威脅感知系統發現的本次攻擊為典型的魚叉攻擊，通過對目標用戶的郵箱發送惡意文件，在受害者打開惡意文件後，自動下載木馬以進一步進行控制。該木馬通過多種手段判斷沙箱、虛擬機和殺軟來對抗目標環境的安全機制，保證自身能在不在被發現的的情況下運行。我們將該木馬命名為Mega木馬。其具有尋找防毒軟體，用以對抗防毒檢測。包含：AVG、Avast、360、Bitdefender、Norton、Trend Micro、Kaspersky、大蜘蛛等。並可對抗人工分析，分析是否在沙箱中運行，以達到反沙箱功能。查找的執行程序為 wireshark、taskmanager、regedit、msconfig 等。與反虛擬機器。包含：VBox、VPC、VMware 等。並且可 bypass 微軟的 UAC 的功能後植入開機啟動程序中，其木馬本體在確定感染環境安全之後，才會跟 C&C 進行連接，以進一步控制目標。引用來源： http://www.freebuf.com/articles/system/129387.html #58cf92fd389951a5e7c405ad

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：Mega木馬分析報告摘要：下一代威脅感知系統發現的本次攻擊為典型的魚叉攻擊，通過對目標用戶的郵箱發送惡意文件，在受害者打開惡意文件後，自動下載木馬以進一步進行控制。該木馬通過多種手段判斷沙箱、虛擬機和殺軟來對抗目標環境的安全機制，保證自身能在不在被發現的的情況下運行。我們將該木馬命名為Mega木馬。其具有尋找防毒軟體，用以對抗防毒檢測。包含：AVG、Avast、360、Bitdefender、Norton、Trend Micro、Kaspersky、大蜘蛛等。並可對抗人工分析，分析是否在沙箱中運行，以達到反沙箱功能。查找的執行程序為 wireshark、taskmanager、regedit、msconfig 等。與反虛擬機器。包含：VBox、VPC、VMware 等。並且可 bypass 微軟的 UAC 的功能後植入開機啟動程序中，其木馬本體在確定感染環境安全之後，才會跟 C&C 進行連接，以進一步控制目標。引用來源： http://www.freebuf.com/articles/system/129387.html

at Mon, Mar 20, 2017 4:29 PM