HackerNews.cc 10 月 5 日消息,趋势科技( Trend Micro )研究人员近期发现黑客利用 FTP 服务器与目标设备的 C&C 服务器建立后门 SYSCON 通信连接。调查显示,SYSCON 后门正通过受感染文件传播,其文件内容涉及朝鲜和部分红十字会与世界卫生组织的有关人员。
图:使用自定义的 Base64 编码功能
据悉,用于传播后门的恶意文件使用了自定义 Base64 编码功能,与 2012 年传播恶意软件 Sanny 的攻击手段极其相似且编码密钥相同。因此,研究人员推测此次事件幕后黑手与传播恶意软件 Sanny 的攻击人员是同一黑客组织。此外,值得注意的是,此类攻击手段可以规避安全检测,但同时也极易受到监控。研究人员表示,如果受害者打开该恶意文件时,基于操作系统版本的相应文件将 DLL 注入 taskhost(ex)进程以执行 BAT 操作而不触发 UAC 提示,从而成功感染目标设备的 %Temp% 文件。据称,攻击者还使用设备名称作为标识符,通过 SYSCON 后门、利用存储在配置文件中的凭证登录 FTP 服务器。
图:与 C&C 服务器建立连接
研究人员通过对配置文件进行解码时,不仅发现了 FTP 服务提供商的 URL,还检测到攻击者在服务器端将执行命令存储在 .txt 文件中。一旦受感染设备执行命令,恶意代码会在列出当前运行的所有进程后将压缩与编码的数据发送至服务器。
图:输入漏洞–恶意代码出现错误
不过,研究人员在命令循环处理的过程中发现一处输入漏洞,即恶意软件将命令视为宽字符格式的字符串,只要其中一个函数的参数文件名称出现错误时,就可成功阻止进程执行。因此,研究人员提醒 IT 管理员可通过该种方式阻止后门传播,并时刻监控与外部 FTP 服务器的任何连接,因为它们不仅可以导致数据泄露,还可用于 C&C 服务器的通信连接。
附:趋势科技原文连接《 SYSCON Backdoor Uses FTP as a C&C Channel 》
原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 编译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册