首页 > 菜鸟学院 > 窥探家庭网络的恶意木马

窥探家庭网络的恶意木马

时间:2015-03-18 | 来源:互联网 | 阅读:116

话题: 木马

我们注意到恶意软件会检测苹果设备,例如iPhone和iPad,而它们设备并没有开放的HTTP端口。然而,需要注意的是,从这些字符串可以看出,它更加关注路由器。我们发现恶意软件使用以下名字搜索路由器等设备:

dlink d-link laserjet apache cisco gigaset asus apple iphone ipad logitech samsung xbox

图5 搜索苹果设备

一旦恶意软件对网络中的设备搜索结束,它会利用base64编码和一个自定义的加密算法对搜索结果加密。然后,通过HTTP协议将加密后的结果发送到一个远程C&C服务器。

图6 加密搜索结果

图7 发送结果到C&C服务器

恶意软件成功发送结果之后,就从受害者电脑上自我删除,并清除它的任何踪迹。攻击者使用下面的命令来实现这些操作:

exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”

相关文件哈希:

a375365f01fc765a6cf7f20b93f13364604f2605

猜测:可能是攻击活动的“先行军”

根据恶意软件的行为可猜测,它可能只是攻击者用来收集情报的先行部队,这些信息很可能会被用来发动一场大型恶意活动。收集来的信息可能会被存储并用作以后的跨站请求伪造(CSRF)等攻击,因为如果攻击者手中已经有了特定IP的登录凭证,那么以后的攻击将变得更加容易。当然,我们并不十分确定,但是考虑到该恶意软件的执行流程以及行为表现,这似乎是最有可能发生的场景。

安全建议

无论攻击者的最终目标是什么,这个恶意软件都向我们展示了设备安全的重要性,即使那些不太可能成为目标的设备也需要关注其安全。所以,用户应该经常修改路由器的登录凭证,最好设置成强密码。此外,用户还可以选择密码管理软件来帮助他们管理所有的密码。


湘ICP备2022002427号-10湘公网安备:43070202000427号
© 2013~2019 haote.com 好特网