压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

近日，亞信安全截獲LokiBot間諜木馬最新攻擊活動，其通過帶有惡意附件的垃圾郵件傳播，采用隱寫術來隱藏代碼，從而逃避殺毒軟件的檢測，亞信安全將其命名為TrojanSpy.Win32.LOKI.TIOIBOGE。

電子郵件樣本分析

亞信安全截獲了一封自稱是來自印度一家糖果公司的郵件，該郵件包含Word文檔附件，如下圖:

安全專家通過分析電子郵件發現了一些可疑問題，最明顯的是發件人姓名和電子郵件簽名不匹配，其次是電子郵件是在7月1日發送的，郵件內容則是通知接收方，其訂購的產品將在7月中旬發貨，由于時間緊迫，迫使收件人盡快打開郵件附件查看。最后，安全專家查詢了電子郵件來源的IP地址37[.]49[.]230[.]149，該地址已經被標記為惡意地址。

安全專家繼續分析電子郵件附件New Order July.DOC(該文件被檢測為Trojan.W97M.DLOADER.PUQ)，其包含兩個嵌入對象:

• Microsoft Excel 97-2003工作表
• 一個標有’package.json’的包

執行后，該文檔立即顯示一個Microsoft Excel工作表，然后會繼續執行嵌入在工作表中的VBS宏代碼，其執行流行如下:

通過分析，安全專家發現發件人IP地址與發件人域不匹配，所以發件人極有可能偽裝成合法的帳戶。該電子郵件很可能是從僵尸網絡或感染惡意軟件的受害者機器發送的。

隱藏在圖像中的代碼

亞信安全還截獲了LokiBot變種文件，其通過包含惡意RTF格式(RTF)文件附件的垃圾郵件傳播，RTF文件包含嵌入的EXCE OLE對象，其使用Windows Management Instrumentation (WMI)和PowerShell來下載和執行惡意軟件。

執行后，其會生成%Temp%\ [filename] .exe 以及%temp%\ [filename] .jpg 文件，jpg文件可以被正常打開，如下圖所示，但是它包含了LokiBot解壓縮過中引用的數據。

該圖像包含加密二進制，用于整個不同的解壓縮階段，直到主LokiBot代碼在內存中解密。在加載主代碼之前，它會在%appdatalocal%中創建一個目錄，該目錄將包含LokiBot二進制文件和圖像(與%temp%中的相同))。同時，它還會生成Visual Basic腳本(VBS)文件來運行LokiBot文件，并且創建一個指向VBS文件的注冊表自啟動項目。最后，LokiBot代碼被加載和執行。

LokiBot使用隱寫術

LokiBot變種將加密的二進制文件隱藏在圖像文件中，首先通過子字符串函數查找加密文件開始的“標記”，該標記為“#$%^&*()__#@ $#57 $#!@”。

找到文件后，其開始使用自己的方法進行解密。

LokiBot變種依賴于隱寫術的一個可能原因是它增加了另一層混淆，即使用Wscript(VBS文件解釋器)執行惡意軟件，而不是惡意軟件自己執行。由于自動啟動機制使用腳本，因此未來的變種可以選擇通過動態修改腳本文件來更改自啟動機制。

亞信安全教你如何防范

• 不要點擊來源不明的郵件以及附件;
• 不要點擊來源不明的郵件中包含的鏈接;
• 采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼;
• 打開系統自動更新，并檢測更新進行安裝;
• 盡量關閉不必要的文件共享;
• 請注意備份重要文檔。備份的最佳做法是采取3-2-1規則，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。

亞信安全解決方案

亞信安全病毒碼版本15.309.60，云病毒碼版本15.309.71，全球碼版本15.311.00已經可以檢測，請用戶及時升級病毒碼版本。

IOCs

##

關于亞信安全

亞信安全是中國網絡安全行業領跑者，以安全數字世界為愿景，旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者，同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有2個獨立研發中心，2,000人安全專業團隊。欲了解更多，請訪問: http://www.asiainfo-sec.com

更多媒體垂詢，敬請聯絡：