我們注意到惡意軟件會檢測蘋果設(shè)備�����,例如iPhone和iPad����,而它們設(shè)備并沒有開放的HTTP端口�。然而,需要注意的是��,從這些字符串可以看出���,它更加關(guān)注路由器��。我們發(fā)現(xiàn)惡意軟件使用以下名字搜索路由器等設(shè)備:
dlink
d-link
laserjet
apache
cisco
gigaset
asus
apple
iphone
ipad
logitech
samsung
xbox
圖5 搜索蘋果設(shè)備
一旦惡意軟件對網(wǎng)絡(luò)中的設(shè)備搜索結(jié)束���,它會利用base64編碼和一個自定義的加密算法對搜索結(jié)果加密。然后�,通過HTTP協(xié)議將加密后的結(jié)果發(fā)送到一個遠程C&C服務(wù)器。
圖6 加密搜索結(jié)果
圖7 發(fā)送結(jié)果到C&C服務(wù)器
惡意軟件成功發(fā)送結(jié)果之后����,就從受害者電腦上自我刪除,并清除它的任何蹤跡����。攻擊者使用下面的命令來實現(xiàn)這些操作:
exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”
相關(guān)文件哈希:
a375365f01fc765a6cf7f20b93f13364604f2605
猜測:可能是攻擊活動的“先行軍”
根據(jù)惡意軟件的行為可猜測�����,它可能只是攻擊者用來收集情報的先行部隊�����,這些信息很可能會被用來發(fā)動一場大型惡意活動��。收集來的信息可能會被存儲并用作以后的跨站請求偽造(CSRF)等攻擊�,因為如果攻擊者手中已經(jīng)有了特定IP的登錄憑證��,那么以后的攻擊將變得更加容易���。當(dāng)然����,我們并不十分確定���,但是考慮到該惡意軟件的執(zhí)行流程以及行為表現(xiàn)��,這似乎是最有可能發(fā)生的場景��。
安全建議
無論攻擊者的最終目標是什么����,這個惡意軟件都向我們展示了設(shè)備安全的重要性,即使那些不太可能成為目標的設(shè)備也需要關(guān)注其安全����。所以�,用戶應(yīng)該經(jīng)常修改路由器的登錄憑證,最好設(shè)置成強密碼�。此外,用戶還可以選擇密碼管理軟件來幫助他們管理所有的密碼����。
小編推薦閱讀
