178期报告汇总
安天发布《ArtraDownloader 木马变种分析报告》
近日,安天 CERT(安全研究与应急 处理中心)发现一种名为 ArtraDownloader 的 木 马 家 族。 该 木 马 常 用 来 下 载 与 BITTER 威 胁 组 织 相 关 的 远 控 木 马 BitterRAT,目前该木马家族被发现有三类 变种。
2018 年 9 月 起, 持 续 到 2019 年 初, BITTER 组织针对巴基斯坦和沙特阿拉伯 发起了一波攻击,在这次攻击中大概有 80 个 不 同 的 ArtraDownloader 恶 意 样 本, 其 中最早的一个样本的时间戳是 2015 年 2 月。 这些样本可大体分为三类,它们在字符串 的混淆方式和 HTTP 的请求方式上有所差 别。这类木马通过添加注册表自启动项来实现持久化,通过 HTTP 请求来下载并执 行远程文件,字符串的混淆方式为将每个 字符加上或减去一个值,并且在 HTTP 通 信中也采用这样的方式进行混淆。该类木 马通过恶意文档触发,攻击者通过网站入 侵,将这些恶意文档上传到合法的巴基斯 坦网站上,并诱骗用户下载。被入侵的网 站包括政府网站、工程公司、电气供应商 等。
安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非 正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。
目前,安天追影产品已经实现了对该 类恶意代码的检出。
