“海莲花”组织自首次发现以来,已被发现先后使用了4种不同形态的木马程序。初期的木马程序并不复杂,比较容易被发现和查杀。但近年来捕获的“海莲花”攻击样本均增加了一系列复杂的攻击技术,防护查杀的难度也呈正比增加。
此次深信服终端安全团队捕获的样本就具备了以下特征:
-
白加黑投递,利用正常软件加载恶意攻击载荷
-
精确攻击,只有特定主机才能解密执行远控木马
-
多重加密,在生成最终载荷前,执行了四次解密操作
执行流程图如下:
lenovodrvtray启动时会加载恶意文件DgBase.dll
该段代码同样是经过加密的,在执行前会不断异或解密汇编代码
-
深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:
日常防范措施:
-
及时给系统和应用打补丁,修复常见高危漏洞;
-
不要点击来源不明的邮件附件,不从不明网站下载软件;
-
避免使用弱密码,定时进行密码修改以及加固;
-
定期查看终端日志,检查终端是否存在异常行为。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):针对性伪装攻击,终端信息安全的间谍--海莲花 APT
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论