我們注意到惡意軟件會(huì)檢測(cè)蘋(píng)果設(shè)備,例如iPhone和iPad��,而它們?cè)O(shè)備并沒(méi)有開(kāi)放的HTTP端口。然而���,需要注意的是�,從這些字符串可以看出��,它更加關(guān)注路由器。我們發(fā)現(xiàn)惡意軟件使用以下名字搜索路由器等設(shè)備:
dlink
d-link
laserjet
apache
cisco
gigaset
asus
apple
iphone
ipad
logitech
samsung
xbox
圖5 搜索蘋(píng)果設(shè)備
一旦惡意軟件對(duì)網(wǎng)絡(luò)中的設(shè)備搜索結(jié)束��,它會(huì)利用base64編碼和一個(gè)自定義的加密算法對(duì)搜索結(jié)果加密。然后���,通過(guò)HTTP協(xié)議將加密后的結(jié)果發(fā)送到一個(gè)遠(yuǎn)程C&C服務(wù)器��。
圖6 加密搜索結(jié)果
圖7 發(fā)送結(jié)果到C&C服務(wù)器
惡意軟件成功發(fā)送結(jié)果之后�����,就從受害者電腦上自我刪除���,并清除它的任何蹤跡�。攻擊者使用下面的命令來(lái)實(shí)現(xiàn)這些操作:
exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”
相關(guān)文件哈希:
a375365f01fc765a6cf7f20b93f13364604f2605
猜測(cè):可能是攻擊活動(dòng)的“先行軍”
根據(jù)惡意軟件的行為可猜測(cè)���,它可能只是攻擊者用來(lái)收集情報(bào)的先行部隊(duì),這些信息很可能會(huì)被用來(lái)發(fā)動(dòng)一場(chǎng)大型惡意活動(dòng)��。收集來(lái)的信息可能會(huì)被存儲(chǔ)并用作以后的跨站請(qǐng)求偽造(CSRF)等攻擊�����,因?yàn)槿绻粽呤种幸呀?jīng)有了特定IP的登錄憑證,那么以后的攻擊將變得更加容易����。當(dāng)然��,我們并不十分確定,但是考慮到該惡意軟件的執(zhí)行流程以及行為表現(xiàn)�,這似乎是最有可能發(fā)生的場(chǎng)景。
安全建議
無(wú)論攻擊者的最終目標(biāo)是什么�,這個(gè)惡意軟件都向我們展示了設(shè)備安全的重要性,即使那些不太可能成為目標(biāo)的設(shè)備也需要關(guān)注其安全。所以����,用戶(hù)應(yīng)該經(jīng)常修改路由器的登錄憑證,最好設(shè)置成強(qiáng)密碼���。此外���,用戶(hù)還可以選擇密碼管理軟件來(lái)幫助他們管理所有的密碼。
小編推薦閱讀
