LOLSnif–另一个基于 Ursnif 的目标追踪活动

工具泄露是网络安全中非常有趣的事件。一方面泄露的工具在被熟知且进行分析后，会对原有的文件造成某种意义的破坏，另一方面其内容将会被传入到较低版本的工具当中。本文将会对Ursnif的新版本进行了详细分析。

由于恶意软件的存在，源代码泄露情况很普遍。2017年，代码“ Eternal Blue”（CVE-2017-0144）遭泄露并被黑客入侵，而早在2010年银行木马Zeus的泄露就已经形成了恶意软件新格局，该木马的源代码在泄露后，出现了与该银行木马相同的代码库。本文我将重点介绍源代码在2014年就被泄露的系列事件，这个系列被称为Ursnif（也称为Gozi2 / ISFB），Ursnif是成熟的银行木马，而关于该系列的研究也有很多。

本文中我对Ursnif的最新变体进行了分析，发现它利用LOLBins、组件对象模型（COM）接口等技术来检测Internet Explorer，借此绕过本地代理以及Windows Management Instrumentation（WMI）来与操作系统进行交互，达到代替本地Win32 API的效果，该操作很难被检测到。

……

更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1213/

消息来源：telekom， 译者：dengdeng。
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接