太阳集团2138备用网址

  • “12326”民航服务质量监督电话正式开通 2019-04-23
  • 中铁佰和佰樂金婚盛典2017重阳节完美绽放 2019-04-23
  • 保护长江生态环境今年主抓8方面工作——生态环境部部长李干杰回应生态环境保护热点问题 2019-04-23
  • 新疆台办开展走访慰问台商台企活动 2019-04-23
  • 标致301优惠1.5万起 时尚代步经济全面 2019-04-23
  • 欢迎进入红色轨迹党史网站 2019-04-23
  • 【华商侃车NO.28】重磅!为什么315这么多车主维权? 2019-04-23
  • “上会神器”造型各异! 2019-04-23
  • 曾经赫赫有名如今艰难生存:华硕的解药到底在哪儿? 2019-04-23
  • 全国政协常委吴晶倡议:唱响《国歌》 激发爱国情怀【图文】 2019-04-23
  • 首届青运会开幕式文体表演简约而不简单 2019-04-23
  • 中国法学会第八次全国会员代表大会在京开幕 2019-04-23
  • 我是谁?我是海关关员 2019-04-23
  • “立委”南北辅选? 韩國瑜:要看时间 2019-04-22
  • 中国—东盟时装周上演马来西亚设计师婚纱礼服秀 2019-04-22
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    muncy恶意软件分析

    来源:本站整理 作者:佚名 时间:2019-02-27 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 一、简介
    在过去几天,来自DHL的名为“DHL发货通知”的网络钓鱼活动针对全球用户。
    Muncy是SI-LAB对该威胁的称呼。现在,该恶意软件针对全球用户,并通过网络钓鱼活动进行传播。
    恶意攻击者正在使用来配置错误的SMTP服务器。电子邮件欺骗技术用于冒充DHL; 一家有名的快递公司; 将发货通知发送到用户的电子邮件收件箱。
    用于执行此攻击活动的电子邮件是:。
    此技术并不新颖,许多在线可用的Web服务器没有正确的安全配置来防止此类攻击。

    访问电子邮件的用户需要提取恶意附件。恶意软件是一个.exe文件,用于扫描用户的计算机并收集信息,包括FTP数据。
    下面的流程图显示了恶意软件的工作原理。

    恶意软件已加壳,首次执行后,将创建并执行新进程(解压缩的恶意软件)。 该进程在用户的C:\驱动器中执行批量扫描,获取敏感信息,发送到由骗子管理的域名sameerd[.]net。
    在恶意软件感染生命周期期间,用户设备中未发现持久性。
    接收此类电子邮件的用户应该知道他们是社交工程活动的一部分。如果没有任何订单,那么忽略它。
    SI-LAB已经通知了DHL公司,但目前并没有公开评论。
    有关详细信息,请参阅下文。
    二、技术分析
    · 威胁名: DHL Original Receipt_PDF.exe· 原始文件名: Muncy.exe· MD5: 4df6d097671e0f12b74e8db080b66519· SHA-1: 568035f0e96b9e065049491004ccee5a4cd180c7· Imphash: 8a6e3bc29ee49f829483143f1dc39442
    在上周,Segurança Informática(SI)实验室确定了旨在通过DHL货运通知安装Muncy恶意软件的感染尝试。恶意电子邮件包含针对诱惑受害者量身定制的通过网络钓鱼活动传播的特定木马。
    1.DHL网络钓鱼活动试图冒充DHL
    利用错误的SMTP服务器配置,恶意攻击者正在发送冒充DHL的网络钓鱼电子邮件(参见图1)。

    图1:电子邮件正文和恶意附件
    对恶意电子邮件的初步分析显示,域名(duntonintlsrc.com)用于向目标SMTP服务器day EHL。配置错误的SMTP服务器是传播恶意活动的载体。

    图2:电子邮件欺骗和DHL模拟
    详细地说,观察到的第一波活动发生在2019年2月12日。这是一个值得记住的重要指标。
    电子邮件正文不是纯文本邮件,而是嵌入了PNG图像 ,我们可以观察到电子邮件已从本地路径添加:C:/Users/Administrator/Desktop/DHL.png。

    图3: 邮件体
    2、Muncy恶意软件 – 最近呈上升趋势
    Muncy恶意软件是现在最活跃的特洛伊木马之一。由于其原始名称在可执行文件中硬编码,SI-LAB将其称为Muncy。Muncy恶意软件的各阶段结构如图4所示。

    图4:Muncy恶意软件的工作原理
    恶意软件已加壳,在分析期间,我们无法脱壳。第一次执行后,它将解压缩到PE File .data部分,该部分在启动时为空。该威胁对所有C:\驱动器执行扫描,试图查找敏感数据和文件(主要是FTP文件),并将发送到由crooks管理的终端(sameerd.net)。
    3、深入探究
    乍一看,它看起来像一个PDF文件 – 一种欺骗最粗心用户的旧技术。

    图5:Muncy添加了一个PDF图标
    此威胁得名于其原始文件名Muncy。请注意,英语是骗子检测和使用的主要语言,用于开发此恶意软件。
    其他有趣的字符串是CompanyName:Somers2和ProductName:HARPALUS8。
    嗯,其实非常有趣。我们来调查一下吧。
    · Somers2:没什么好玩的。
    · Harpalus:Harpalus luteicornis是一种原产于Palearctic的甲虫。

    让我们看下一个可以找到上述信息的图。


    图6:原始Muncy
    FileVersion也很有趣(1.01.0005) – 这种威胁似乎仍在开发中。
    让我们仔细看看吧。该文件具有高熵,并且注意到两个偏移(0x71000和0x7F400)的熵在增加。

    [1] [2] [3] [4] [5]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。