IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

银行木马Retefe居然也使用了NSA“永恒之蓝”EXP

发布时间:2017-10-04 13:24文章来源:互联网文章作者: 佚名点击次数:
银行木马Retefe居然也使用了NSA永恒之蓝EXP。来自Proofpoint安全的研究人员发现了一款名为Retefe的银行木马,这款木马使用了与美国国家安全局相关的永恒之蓝exp。 跟之前使用永恒之蓝的病毒不同,这个银行木马没有用exp进行循环传播。事实上,病毒是通过垃圾

银行木马Retefe居然也使用了NSA“永恒之蓝”EXP。来自Proofpoint安全的研究人员发现了一款名为Retefe的银行木马,这款木马使用了与美国国家安全局相关的永恒之蓝exp。

跟之前使用永恒之蓝的病毒不同,这个银行木马没有用exp进行循环传播。事实上,病毒是通过垃圾邮件传播的,而通过永恒之蓝漏洞传播的病毒版本没有exp。

ETERNALBLUE.jpg

永恒之蓝是一款跟NSA有关的exp,今年三月,微软发布了针对漏洞的补丁,一个月后,shadowbrokers公布了exp。这个漏洞利用Windows服务器消息(SMB)中的漏洞,使用445端口自动传播恶意程序。

而在今年5月的WannaCry勒索事件中,病毒作者也是使用了这款exp使得传统的勒索病毒具备蠕虫特性,因此造成了病毒广泛传播。

最近一次针对瑞士用户的攻击中,Proofpoint从收集到的部分Retefe样本中发现它也使用了永恒之蓝进行横向传播。

Retefe银行木马自2013年开始活跃,主要的攻击目标是澳大利亚、瑞士、瑞典和日本的用户。恶意软件会把银行的流量引导到代理服务器,代理服务器往往架设在Tor网络中。

工作原理

最近,病毒往往通过垃圾邮件传播,邮件附件是一个微软office文档。利用社会工程学,攻击者会让用户下载恶意payload。

最近的攻击中,下载的payload是一个自解压的zip文件,文件里面是一个经过多重混淆的Javascript安装器。研究代码后研究人员发现,最近的样本中包含一个新的参数,用来调用永恒之蓝exp。

这些代码参考了github上的一段poc代码,但是代码中还包含安装记录和配置细节。上周,参数被调整,只剩下了记录功能。

“永恒之蓝exp会从远程服务器下载PowerShell脚本,该服务器本身包含一个安装Retefe的嵌入式可执行文件。Proofpoint表示,这种安装方式没有能让EternalBlue进一步横向传播的模块,因此没有进行循环传播。”

研究人员还发现,今年6月和8月的病毒版本还兼容了MacOS。

Proofpoint还指出,“虽然Retefe的传播远远不如Dridex或The Trick这样的其他银行木马,但以瑞士银行为重点,Retefe有很多高级目标。此外,我们正在观察到病毒的针对性攻击愈发增加,随着永恒之蓝exp的加入,一旦有目标主机被入侵,就可能在网络中进一步传播。”


银行木马Retefe居然也使用了NSA“永恒之蓝”EXP
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/diannao/wangluo/1073110.html

标签分类:

上一篇:上一篇:接口安全分析之从printf源码看libc的IO
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量