找工做嗎?未入職先「中毒」的那種。隨着疫情逐漸消退,找工做的人也變得多了起來,而黑客們也開始「乘機而動」,冒充名企招聘人員大肆投放「帶毒」的虛假招聘文件。web
近日,360安全大腦獨家發現,有不法黑客團伙打着企業招聘的幌子,經過微信等通信工具傳播新型go語言編寫的釣魚木馬。不過廣大用戶無需擔憂,在發現該威脅的第一時間,360安全大腦已率先發布安全預警,並對此類木馬進行全方位查殺和攔截,保護政企多端用戶數據及財產安全。算法
釣魚木馬化身「假裝者」,藏身「大廠」招聘文件渾水摸魚shell
從360安全大腦捕獲的惡意樣原本看,此類木馬經過使用神似word文件的圖標,以及超長文件名模糊.exe後綴的方式,「變裝」流竄網絡。在發現該木馬後,360安全大腦對其展開了持續追蹤,經分析發現,該釣魚木馬在利用多重方式隱藏自身的同時,還會將文件取名爲知名互聯網企業招聘狀況介紹等名稱,以迷惑不明真相的用戶。安全
值得注意的是,該釣魚木馬由go語言編寫。正如此前360安全大腦數據報告中強調的那樣,因爲go語言自己的複雜性對於傳統殺軟基於特徵碼的查殺有較好的免殺效果,致使愈來愈多的木馬趨向使用go語言編譯製做。服務器
下圖爲該木馬在vt上的殺軟報毒狀況:微信
釋放「word」的詭詐木馬,監控屏幕記錄鍵盤多線放毒網絡
分析過程當中,360安全大腦發現,相比於常規木馬,該木馬會首先從自身文件數據裏解壓出file.docx,並從環境變量裏找到cmd啓動file.docx。工具
file.docx是一份正常的word文檔,內容和exe的文件名相符合,其做用是讓受害用戶誤覺得啓動的只是這份word文檔,起到欺騙用戶從而隱藏自身的做用。其會根據檢測虛擬機及調試環境結果判斷是否繼續執行,有異常則當即退出。spa
同時,其會從網絡下載key、nonce、buf文件並使用base64解碼。3d
然後,其將key,none用AES-256-gcm算法解密buff,解出一段shellcode。
最後,跳入shellcode執行。
該shellcode是一個ReflectiveLoader,其做用是在內存中解出自身包含的srv.dll並執行其代碼。而srv.dll是用Cobalt Strike生成的一個後門木馬。
在執行shellcode後會轉入srv.dll部分,srv.dll主體代碼流程以下:
該木馬模塊從內存中解密獲取要鏈接的木馬服務器訪問列表。
獲取到列表以後依次循環遍歷服務器地址,直到成功鏈接上遠程控制服務器。
而後從可鏈接服務器網址443端口中讀取控制數據,根據遠程下達的不一樣指令執行對應的代碼,該木馬能夠執行屏幕監控、上傳下載文件、鍵盤記錄、運行任意程序等危險操做。
全線截殺木馬威脅,360安全大腦賦能防護全場景
在網絡安全環境愈加複雜,木馬等常規威脅亦趨向多變的背景下,360安全大腦賦能下的新一代防禦體系,前後推出了橫向移動防禦、軟件劫持攻擊、無文件攻擊等各種應對高級威脅攻擊的體系防禦能力,以及RDP爆破攻擊,web應用系統漏洞,webshell攻擊等多項針對服務器的防禦能力,持續爲政企多端用戶輸出安全防禦力。
目前,在360安全大腦的強勢賦能下,360安全衛士等系列產品可在第一時間攔截查殺此類木馬威脅。同時,面對詭詐多變的釣魚木馬威脅,360安全大腦針對廣大政企多端用戶,給出以下安全建議:
1. 對於我的用戶,可及時前往weishi.360.cn下載安裝360安全衛士,強力查殺此類病毒木馬;
2. 對於廣大政企用戶,可經過安裝360終端安全管理系統,有效攔截木馬病毒威脅,保護文件及數據安全,詳情可經過400-6693-600諮詢瞭解;而對於小微企業,則可直接前往safe.online.360.cn,免費體驗360安全衛士團隊版,抵禦木馬病毒攻擊;
3. 對於安全軟件報毒的程序,不要輕易添加信任或退出安全軟件;
4. 提升安全意識,不隨意打開陌生人發來的各類文件,如需打開務必驗證文件後綴是否與文件名符合。