您当前所在位置:

首页
 > 警务资讯 > 警方提示 > 网络病毒监测

保护视力色:

2020年第3期网络病毒监测

来源:宁波市公安局      发布时间:2020-02-18      点击数:

  国家计算机病毒应急处理中心通过对互联网的监测,发现TrickBot木马的运营者针对高价值目标开发了PowerShell后门PowerTrick。该恶意程序可以绕过安全控制措施,隐藏在高价值目标(如金融机构)内部,进行持久的侦查从而有针对性的横向移动,获取目标有价值的信息。
  PowerTrick启动后会下载其它后门,该过程与PowershellEmpire类似。PowerTrick用于执行命令并以Base64格式返回结果,系统使用基于当前计算机信息生成的UUID(通用唯一识别码)作为“唯一识别”。PowerTrick在执行命令并返回结果,受害者数据被发送回命令控制服务器。PowerTrick还投送带有more_eggs后门的TerraLoader、TrickBotAnchorDNS等恶意软件,PowerTrick还被用于直接执行Shellcode。PowerTrick对系统和网络进行分析后,将删除所有未正确执行的现有文件,然后转到其他目标,或者在环境内横向移动到高价值系统,如财务主机等。PowerTrick执行dir命令以检查文件系统,执行PowerShell脚本以下载锚点DNS后再次发出dir命令以验证下载是否成功。确认下载后,将执行文件并检查计划的任务,再次检查目录以确认文件已成功自删除。然后more_eggs后门通过PowerTrick执行。PowerTrick还会执行PowerShell命令以检查是否存在防病毒产品。
  TrickBot木马是一款专门针对各国银行进行攻击的恶意程序,被攻击者用于攻击全球多个国家的金融机构,主要是通过垃圾邮件的方式进行攻击。针对该恶意程序特点,建议用户采取以下措施予以防范,一是不轻易点击来源不明的邮件和附件;二是安装安全防护产品,并更新到最新版本;三是定期进行重要文件的非本地备份。

Produced By 大汉网络 大汉版通发布系统