频道栏目
首页 > 安全 > 网络安全 > 正文

警惕AGENTTESLA商业键盘记录器新型变种

2018-05-12 10:32:11      个评论      
收藏   我要投稿

一、概述

警惕AGENTTESLA商业键盘记录器新型变种。近日,安天CERT(安全研究与应急处理中心)发现了Agent Tesla商业键盘记录器的新型变种。Agent Tesla原本只是个简单的键盘记录器,记录用户的每一次按键并回传至攻击者服务器。自2014年发展至今,Agent Tesla的开发者为其添加了更多的功能,使其从一个简单的键盘记录器变成了一个具有多种功能的商业键盘记录器。Agent Tesla会监控并收集受害者的键盘输入、剪贴板内容、屏幕截图信息以及受害主机上已安装的各种软件的凭据并采用HTTP POST的方式回传数据。当前,Agent Tesla已在互联网上贩卖,有被滥用的风险和趋势。

此次发现的Agent Tesla新型变种与之前的版本功能类似,只是回传数据的方式有所改变,增加了另外两种回传数据的方式,一种是使用SMTP协议,将收集到的数据发送到攻击者的电子邮箱;另外一种是将数据传送到FTP服务器上。但经分析后发现,虽然Agent Tesla新型变种提供了三种回传数据的方式,但只使用了邮件来回传数据,其他两种通信方式则未曾使用。

Agent Tesla新型变种的主要攻击形式为钓鱼邮件,邮件附件中包含内嵌了恶意软件的Word文档。当用户打开文件后,便会被诱导双击文档中的蓝色图标,一旦用户双击图标,便释放出了恶意软件。Agent Tesla新型变种威胁着个人与企业的信息、财产安全,用户应加强防范意识,减少被攻击的概率。

经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)可实现对Agent Tesla新型变种以及早期各种变种的有效防御。

二、事件样本分析

2.1 样本关系

\

图2- 1 样本关系

本次捕获到的样本为Word文档,打开Word文档后,显示“DOUBLE CLICK TO ENABLE CLEAR VIEW”,提示用户如果想要获取更清晰的视图就要双击这个图标,以此来诱惑用户双击运行恶意程序。

\

图2- 2 恶意文档图示

当用户双击时,会调用UpdatedPO.exe文件,该文件为可执行程序,其执行便开始了恶意代码的启动,并导致最终执行具有核心功能的恶意代码No-name2.exe(详细过程见图2-1)。本报告后续分析主要针对No-name2.exe进行。

\

图2- 3 双击蓝色图标后询问是否运行程序

2.2 样本标签

\

表 2 1 Word文档

2.3 样本功能

No-name2.exe是一个经过代码混淆处理的.Net程序。其可以记录受害主机的键盘输入、窃取剪贴板数据,捕捉受害主机屏幕截图,从受害主机摄像头获取文件,收集受害主机信息和收集已安装软件的凭据,并将以上信息全部发送给攻击者。

上一篇:开发者误读芯片厂商调试文档,导致Windows、macOS和Linux等主要操作系统出现新内核漏洞
下一篇:【网络安全】弱密码的防御与检测
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站