Adwind是一个众所周知的多功能恶意软件程序,它在2017年底引起了一波攻击浪潮。Adwind远程管理工具(RAT)是一种基于Java的后门特洛伊木马,它针对支持Java文件的各种平台。通常,Adwind通过混淆逃避检测。其有效载荷和配置文件(用作安装文件)使用DES、RC4或RC6密码进行加密,不同的变体应用不同的加密方式。
近日,McAfee研究人员发现一种Adwind变体,它作为JAR附件通过垃圾邮件传播,最终利用Houdini VBS蠕虫感染用户。新变体中存在大量混淆的base64编码数据。Adwind后门将在执行期间动态解密。新变体会创建一个运行条目维持持久性,并且会检查系统上安装的反恶意软件产品。
1
关键信息
Adwind主要针对与Java应用程序兼容的平台,并运行Java Runtime Environment;
主要使用恶意JAR文件作为垃圾邮件中的附件,这在早期的攻击活动中很明显;
一旦JAR文件在系统中运行,就会安装Adwind并与远程服务器通信以进行其他恶意活动;
最新变体与基于H-Worm / Houdini VBS的蠕虫捆绑,最终成功感染系统;
名为operational.Jrat的文件会部署最终的恶意有效负载,从而完全破坏系统;
另一个名为Bymqzbfsrg.vbs的文件使攻击者能够控制受感染的设备。
2
感染链
Adwind的传播机制与以前的版本相比,并没有多大变化。它跟随带有.jar附件的垃圾邮件到达目标设备。电子邮件的内容经过精心设计,利用 交工程学技术吸引受害者。总结整个感染链,如下图所示:
垃圾邮件可能如下所示:
3
Adwind恶意功能
众所周知,Adwind拥有许多恶意功能,包括记录击键、从Web表单窃取密码和数据、从 络摄像头获取屏幕截图和视频,最后将这些文件传输到远程服务器。Adwind随后还开发了新的功能,如窃取加密货币钱包以及利用VPN证书。
在2017年,研究人员发现关于Adwind垃圾邮件活动,其可以从防病毒和类似安全软件中逃避检测。这是由于调用了多个JAR文件中存在的复杂分层函数。
在早期的攻击活动中,Adwind依赖不同的文件扩展名,如.dll、.bin和.so。据估计,2017年有超过一百万封恶意电子邮件被发送给受害者。
我怎么这么好看
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!