Adwind RAT重出江湖,依赖新恶意软件

Adwind RAT重出江湖,依赖新恶意软件

Adwind是一个众所周知的多功能恶意软件程序,它在2017年底引起了一波攻击浪潮。Adwind远程管理工具(RAT)是一种基于Java的后门特洛伊木马,它针对支持Java文件的各种平台。通常,Adwind通过混淆逃避检测。其有效载荷和配置文件(用作安装文件)使用DES、RC4或RC6密码进行加密,不同的变体应用不同的加密方式。

近日,McAfee研究人员发现一种Adwind变体,它作为JAR附件通过垃圾邮件传播,最终利用Houdini VBS蠕虫感染用户。新变体中存在大量混淆的base64编码数据。Adwind后门将在执行期间动态解密。新变体会创建一个运行条目维持持久性,并且会检查系统上安装的反恶意软件产品。

关键信息

Adwind主要针对与Java应用程序兼容的平台,并运行Java Runtime Environment;

主要使用恶意JAR文件作为垃圾邮件中的附件,这在早期的攻击活动中很明显;

一旦JAR文件在系统中运行,就会安装Adwind并与远程服务器通信以进行其他恶意活动;

最新变体与基于H-Worm / Houdini VBS的蠕虫捆绑,最终成功感染系统;

名为operational.Jrat的文件会部署最终的恶意有效负载,从而完全破坏系统;

另一个名为Bymqzbfsrg.vbs的文件使攻击者能够控制受感染的设备。

感染链

Adwind的传播机制与以前的版本相比,并没有多大变化。它跟随带有.jar附件的垃圾邮件到达目标设备。电子邮件的内容经过精心设计,利用社交工程学技术吸引受害者。总结整个感染链,如下图所示:

Adwind RAT重出江湖,依赖新恶意软件

垃圾邮件可能如下所示:

Adwind RAT重出江湖,依赖新恶意软件

Adwind恶意功能

众所周知,Adwind拥有许多恶意功能,包括记录击键、从Web表单窃取密码和数据、从网络摄像头获取屏幕截图和视频,最后将这些文件传输到远程服务器。Adwind随后还开发了新的功能,如窃取加密货币钱包以及利用VPN证书。

在2017年,研究人员发现关于Adwind垃圾邮件活动,其可以从防病毒和类似安全软件中逃避检测。这是由于调用了多个JAR文件中存在的复杂分层函数。

在早期的攻击活动中,Adwind依赖不同的文件扩展名,如.dll、.bin和.so。据估计,2017年有超过一百万封恶意电子邮件被发送给受害者。

Adwind RAT重出江湖,依赖新恶意软件

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134745.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code