LOLSnif–另一个基于 Ursnif 的目标追踪活动

工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后,会对原有的文件造成某种意义的破坏,另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。

由于恶意软件的存在,源代码泄露情况很普遍。2017年,代码“ Eternal Blue”(CVE-2017-0144)遭泄露并被黑客入侵,而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局,该木马的源代码在泄露后,出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件,这个系列被称为Ursnif(也称为Gozi2 / ISFB),Ursnif是成熟的银行木马,而关于该系列的研究也有很多。

本文中我对Ursnif的最新变体进行了分析,发现它利用LOLBins、组件对象模型(COM)接口等技术来检测Internet Explorer,借此绕过本地代理以及Windows Management Instrumentation(WMI)来与操作系统进行交互,达到代替本地Win32 API的效果,该操作很难被检测到。

……

更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1213/

 

消息来源:telekom, 译者:dengdeng。
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论