駭客看上Google Drive, Palo Alto發現9002木馬
【文/編輯部】2016/9/7 下午 04:34:16
Google Drive是多數消費者慣用的網路分享空間,但是卻也成為駭客散佈惡意程式的溫床,如Palo Alto威脅情報小組Unit 42最近便觀察到一隻名為9002的木馬程式,運用結合短網址並透過Google Drive上分享檔案等方式,大量散佈各種惡意程式。
該短網址形式大致上為hxxp://tinyurl[.]com/zmu4dry。這種短網址鏈結內建Script程式,負責把用戶的瀏覽器重導向到另一個網址,即是會把受害者連上被駭客控制的伺服器,再將戶轉到Google Drive內的一個Zip壓縮檔,誘騙使用者開啟特定檔案後,達成將木馬程式植入受害者電腦中的目的。
Unit 42資安專家指出,9002木馬開始運作之後,在特定時間會用兩種不同方法,向遠端的C2伺服器傳送網路信標。第一個方法使用客制化協定,透過TCP 80埠進行通訊,發出以9002字串開頭的封包,確認此惡意連線是否能夠運作。若遠端C2伺服器有回應,木馬連同jackhex與2016字串一起加入組態檔案之中。至於第二種發送信標的方法,也同樣使用TCP 80埠,但此方法使用HTTP通訊協定和C2伺服器聯繫,利用lynx使用者代理,將資料傳遞到遠端伺服器中,而兩個指令都寫死在木馬的主體程式內,這代表幾乎移除惡意指令難度較高。
更多新聞
.【資訊安全】 疫情引爆資安 趨勢科技籲警覺.【資訊安全】 遠端辦公成為資安高風險群.【資訊安全】 BEC詐騙 台灣受害北亞區居冠.【資訊安全】 思科助攻 打造遠距體驗.【資訊安全】 微軟攜手法務部 遏止殭屍網路.【資訊安全】 防疫當頭 Check Point提供安全技巧.【資訊安全】 F5亞太報告 關切網路安全.【資訊安全】 微軟五資安要點 助企業提前部署.【資訊安全】 區塊科技 推BEC方案.【資訊安全】 AEGIS CUSTODY攜手中國信託 推帳款資