63期报告汇总
安天发布《Sarvdap样本分析报告》
近日,安天追影小组在进行安全事件梳理时,注意到了Sarvdap家族木马利用RBL(Realtime Blackhole List)过滤技术来进行选择性感染,安天追影小组对该家族的样本行为做简要的介绍。
Sarvdap家族木马主要采用网络钓鱼的方式来进行传播, RBL为实时黑名单列表的英文缩写,该列表中的IP地址均对外发送过垃圾邮件,一般被邮件过滤器用于过滤垃圾邮件。正是利用了RBL这一特性,Sarvdap家族恶意代码能够避免感染RBL黑名单中的主机,来提高感染的有效性。
安天追影小组针对Sarvdap家族样本进行分析,通过分析可知该样本编译环境为Microsoft C++ 8.0的可执行文件。
Sarvdap样本将功能函数和字符串地址进行硬编码,依赖于内存基地址为0x2001000的功能模块,当无法获取到功能函数及字符串时将无法运行,从而来增加静态调试的难度。
在程序执行时,该样本将进行自我复制,将自身复制到%windir%目录的文件夹里,并执行一个名为svchost.exe的进程,将主要代码写入该进程内存中,设置注册表自启动。
成功写入代码后,恶意进程会尝试访问http://www.microsoft.com来测试网络连接状态,若网络处于连通状态,则将被感染主机的IP在RBL列表中进行检索,判断是否进行感染,若被感染主机不在RBL黑名单中,则将继续进行感染,进而获取主机控制权,否则将终止执行恶意代码。
Sarvdap样本的RBL检查模块进行深入分析可以发现,样本的RBL黑名单为硬编码,且列表中包含的服务器IP范围遍布全世界,可见该恶意代码攻击的范围之广。
通过本次事件的技术分析,可以发现网络钓鱼传播木马仍然是企业、政府和家庭用户一个非常普遍的威胁,攻击者也不断更新技术来躲避查杀,安全技术必然需要与时俱进。安天建议网络使用者,针对邮箱匿名邮件应谨慎对待,切勿随意下载启动,防范于未然。对于已经受到感染的机器设备,及时寻求专业人事行分析处理。目前,该样本已经被追影产品检出。