|
|
|
联系客服020-83701501

恶意软件拆分攻击

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
歹意软件拆分冲击

快捷方式近来成为一种思空见贯的撒播载体,用在倒退有针对性的冲击中撒播歹意软件。赛门铁克已经发现了很多种用来浸透网络的快捷方式文件,可拜会先前博客文章中所描述的。我近来偶然发现了一个案例,用此类快捷方式绕过安然防护软件并胜利坑骗收件人履行附件中的歹意软件。在这个案例中,歹意顺序被拆散发送给收件人同时用一个快捷方式来组合成为完整的歹意软件。
歹意邮件附带的存档文件中包罗一个带有文件夹图标的快捷方式和一个文件夹,这个文件夹中包罗一个doc文件和两个后缀为.dat的暗藏文件。

1

图1:邮件中附带的存档文件

2

图2:Summit-Report1文件夹中的内容

对畅通贯穿连贯资本打点器默许设置的用户来说,在存档文件中只能够看到两个文件夹。点击这两个文件夹中的方便一个农村跳转到寄存doc文件的那个目录。但是假定用户点击了快捷方式文件夹,其中包罗的copy呼吁就会将两个.dat文件合并天生一个歹意顺序。随后电脑就会被歹意顺序陶染。当然附件文档中的文件布局能够变化,但是不绝会包罗一个快捷方式和很多分片文件。
3

图3:快捷方式的属性默示了一段用来组合.dat文件的脚本

~$1.dat的源代码

图4:~$1.dat的源代码

~$2.dat的源代码

图5:~$2.dat的源代码

组合完成的可执行文件源代码

图6:组合完成的可履行文件源代码

在实施冲击过来拆分歹意顺序日后在被冲击者电脑中组合顺序,冲击者用这个战略能达到一些方针。其中最次要的方针是警戒歹意顺序被检测出来。假定歹意顺序被拆分成零散文件,安然防护软件就很难判断这些文件能否是歹意顺序,另一个方针是阻止网关型安然防护软件剥离可履行文件。一个榜样的网关型防护软件有本领依照文件典范过滤文件,并剥离邮件附件中的可履行文件。这在it一切是很思空见贯的做法。
快捷方式在垄断中是烦复又有效的。他不需要操纵裂痕,裂痕冲击要占用少量资本同时请求被冲击者电脑存在安然裂痕。只要要快捷方式的图标假造成文件夹能够文档文件就行了,一旦冲击者操办好歹意顺序,加之一行烦复的脚本,冲击就成形了。
要怎样来阻止此类冲击?个别来说,不有极为的因由要让邮件附件概况包罗快捷方式文件。假定公司认为邮件附件中不有必要泛起快捷方式,那就让网关把快捷方式文件过滤掉就行了。
赛门铁克将检测到的歹意软件标记为木马,在网上日记颁发了外貌。

不知道看到这里,读者们会想到copy呼吁有这么独特的用法吗?以是说浸透中思绪、手法很烦忙哦~

[via@赛门铁克 / 91ri.org]

日币处罚:

本文为原创译文、首发91ri.org,作者由依照本身的理论撰文,依照本站积分规定赐与日币处罚共5枚。

数安新闻+更多

证书相关+更多