新型Windows远控木马利用损坏头文件逃避检测达数周
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
Fortinet研究发现一种利用损坏DOS和PE头文件的恶意软件,攻击者通过批量脚本和PowerShell在Windows上执行。该恶意软件具备远程访问木马功能,能够捕获屏幕、操控系统服务,并通过TLS加密与命令控制服务器通信,将受感染系统转化为远程控制平台。
🎯
关键要点
- Fortinet研究发现一种利用损坏DOS和PE头文件的恶意软件,进行异常网络攻击。
- 该恶意软件通过批量脚本和PowerShell在Windows上执行,具备远程访问木马功能。
- 恶意软件的DOS和PE头文件被故意破坏,以增加分析难度。
- 研究人员成功解析了恶意进程的内存转储,尚不清楚其传播途径和影响范围。
- 恶意程序通过TLS加密与命令控制服务器通信,使用多线程C2通信机制。
- 该恶意软件具备屏幕截图捕获、系统服务操控等功能,能够将受感染系统转化为远程控制平台。
- 攻击者可以通过该平台实施后续攻击或执行任意操作。
❓
延伸问答
这种恶意软件是如何逃避检测的?
该恶意软件通过故意损坏DOS和PE头文件来增加分析难度,从而逃避检测。
恶意软件具备哪些功能?
该恶意软件具备屏幕截图捕获、系统服务操控等功能,能够将受感染系统转化为远程控制平台。
攻击者是如何在Windows上执行该恶意软件的?
攻击者通过批量脚本和PowerShell在Windows进程中执行该恶意软件。
该恶意软件的通信是如何加密的?
所有C2通信均通过TLS协议加密传输,确保数据安全。
Fortinet是如何分析该恶意软件的?
Fortinet通过获取恶意进程的内存转储和整机内存镜像,经过多次试验和纠错,成功解析了转储样本。
该恶意软件的传播途径是什么?
目前尚不清楚该恶意软件的具体传播途径和影响范围。
➡️
