黑客利用FELIXROOT后门进行恶意邮件传播

  • A+
所属分类:网络安全新闻

FireEye的安全专家发现了一个新的垃圾邮件活动,利用FELIXROOT后门,这是一种用于网络间谍活动的恶意软件。

FELIXROOT后门于2017年9月首次被FireEye发现,当时攻击者将其用于针对乌克兰人的攻击。

新的垃圾邮件活动使用武器化文件声称提供有关环境保护工作研讨会的信息。

这些文档包括利用已知Microsoft Office漏洞 CVE-2017-0199 和 CVE-2017-11882 删除和执行后门二进制文件的代码。

黑客利用FELIXROOT后门进行恶意邮件传播

专家报告说,上次活动中使用的诱饵文件是用俄语写的。武器化文件利用CVE-2017-0199漏洞下载第二阶段有效载荷,触发CVE-2017-11882漏洞掉落并执行最后的后门。

“FireEye最近观察到同样的FELIXROOT后门作为新活动的一部分进行分发。这一次,观察声称含有环保讲座信息武器化的诱惑文件利用已知的Microsoft Office中的漏洞 CVE-2017-0199 和 CVE-2017-11882 下降和受害者的机器上执行的后门二进制文件。”读取分析发表FireEye的。

“成功利用后,dropper组件执行并删除加载程序组件。加载程序组件通过RUNDLL32.EXE执行。后门组件加载到内存中并具有单个导出功能,“

当受害者打开诱饵文档时,CVE-2017-0199允许攻击者下载并执行包含PowerShell命令的Visual Basic脚本。

CVE-2017-11882是远程代码执行漏洞,允许攻击者在当前用户的上下文中运行任意代码。

此后门实现了广泛的功能,包括通过Windows Management Instrumentation(WMI)和Windows注册表进行目标指纹识别,远程shell执行和数据泄露。

执行后,后门会休眠10分钟,然后检查它是否由RUNDLL32.exe和参数#1一起启动。

如果后门是由RUNDLL32.exe使用参数#1启动的,则在连接到命令和控制(C2)之前进行初始系统分类。恶意代码使用Windows API获取系统信息(即计算机名称,用户名,卷序列号,Windows版本,处理器体系结构等)。

FELIXROOT后门能够通过HTTP和HTTPS POST协议与其命令和控制服务器通信。C2的流量使用AES加密并转换为Base64。

“FELIXROOT通过HTTP和HTTPS POST协议与C2通信。通过网络发送的数据经过加密并以自定义结构排列。所有数据都使用AES加密,转换为Base64,并发送到C2服务器“继续分析。

“后门中的字符串使用自定义算法进行加密,该算法使用带有4字节密钥的XOR。”

专家认为,这个后门是一个危险的威胁,但当时参与了大规模的活动。

FELIXROOT后门包含几个允许它执行特定任务的命令。一旦执行了命令,恶意代码将在执行下一个命令之前等待一分钟。

“一旦所有任务完全执行,恶意软件就会中断循环,发送终止缓冲区,并清除目标计算机上的所有足迹”继续FireEye。

从启动目录中删除LNK文件。
删除注册表项 HKCU \ Software \ Classes \ Applications \ rundll32.exe \ shell \ open
从系统中删除dropper组件。

  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!