安天发布《AbSent 窃密木马分析报告》 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

安天发布《AbSent 窃密木马分析报告》

安天 资讯 2020-11-30 15:30:35
收藏

导语:安天 CERT 在梳理网络安全事件时发现了利用 COVID-19 为主题的钓鱼邮件传播 AbSent 窃密木马活动。AbSent是一款具有反调试、反虚拟机和反沙箱检测的窃密木马。

近日,安天 CERT 在梳理网络安全事件时发现了利用 COVID-19 为主题的钓鱼邮件传播 AbSent 窃密木马活动。AbSent是一款具有反调试、反虚拟机和反沙箱检测的窃密木马。该窃密木马主要通过钓鱼邮件进行传播,目的是窃取用户个人信息。

该活动通过钓鱼邮件进行传播,附件中包含一个伪造成文档的可执行文件,该可执行文件一旦执行便会连接 C2 下载并运行 AbSent 窃密木马,该窃密木马将自身复制到% TEMP%路径下并重命名为winsvchost.exe,创建计划任务达到持久性的目的。AbSent 窃密木马每 15 分钟与 C2进行一次连接保持心跳。AbSent 窃密木马主要功能包括远程桌面控制、键盘记录、收集主机信息、获取进程路径、获取浏览器 Cookie 信息、上传可能包含敏感信息的文本文件、获取进程列表、结束指定进程、获取屏幕截图以及打开 CMD 等。
安天 CERT 提醒广大政企客户,应提高网络安全意识。在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确认收发来源是否可靠,不随意点击或者复制邮件中的网址,不轻易下载来源不明的附件,发现网络异常要提高警惕并及时采取应对措施,养成及时更新操作系统和软件应用的良好习惯。确保所有的计算机在使用远程桌面服务时避免使用弱口令,如果业务上无需使用远程桌面服务,建议将其关闭。
目前,安天追影产品已经实现了对该窃密木马的鉴定;安天智甲已经实现了对该窃密木马的查杀。

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论