事件概述
近日,深信服深盾终端实验室在工作中发现一例伪装名为 360*.exe, java*.exe 等相关进程的可疑文件,该样本代码同搜狗官方模块相似度极高(98%+),疑似修改自搜狗相关升级模块,且在VT全引擎均无法检出。
经过安全专家深入分析研判,发现该模块为攻击者通过二进制 Patch 方式生成,通过在知名厂商搜狗名为 userNetSchedule.exe 的模块中夹入恶意代码,最终实现后门驻留。由于攻击极具针对性,面向金融行业,且木马通信流程夹杂在正常模块通信流量中,隐蔽性极高,故我们提醒各机构提高警惕。
分析
恶意后门通过精心构造的 Patch 知名厂商二进制文件执行恶意代码执行攻击,文件大小约 2.9MB 左右,由于其改动很小,极少量恶意代码隐藏在正常知名厂商产品模块内,故安全对抗免杀效果极好。下图左恶意代码模块,右知名厂商正常文件,攻击者通过 patch 方式生成后门,两个文件分析粗看基本一致,以达到误导分析师或鉴定引擎误判其为搜狗正常模块的目的。
经过深入研判分析两者差异,可见原模块代码中个别函数处代码被修改为了恶意功能(下图左为原始代码,右为修改后的恶意代码)。
被篡改后的恶意函数代码,最终执行相关函数进行后续图片载荷的的拉取装载。
代码最终拉取远程 C2 内的恶意图片装载执行。
hxxps://120.46.174.67/sgime/preUpdate.bmp
hxxps://120.46.174.67/sgime/preSync.bmp
当前图片资源暂时无法下载,无法得知后续攻击载荷功能细节。
攻击者使用 C2:120.46.174.67 托管于某云厂商上,当前未有情报进行标记,推测攻击者使用基础设施也是通过精心准备。
目前深信服高级威胁检测系统已成功拦截利用该模块发起的真实攻击。
IOCS
IP:
120.46.174.67
URL:
hxxps://120.46.174.67/sgime/preUpdate.bmp
hxxps://120.46.174.67/sgime/preSync.bmp
MD5:
E9FCC0E654C49A88D8921664EA9446A7
解决方案
1.深信服安全感知管理平台 SIP、下一代防火墙AF、终端响应检测平台EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;
2.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
3.深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;
4.深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
原文始发于微信公众号(深信服千里目安全实验室):小心主机被开后门!深信服捕获到“faker”利用搜狗文件Patch定向攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论