-
“Occhionero兄弟”最近火了······
他是谁?做什么的?
又发什么大事?
一系列问题向小编重重砸来。
别急,听小编娓娓道来!
近日,意大利警方逮捕了两名被称为“Occhionero兄弟”的意大利人,他们被������指控利用恶意软件和定制的鱼叉式钓鱼攻击(SPEAR PHISHING)来监视知名政治家和企业家。这波攻击有着明显的攻击前准备,用意在制作有效的鱼叉式钓鱼攻击(SPEAR PHISHING)诱饵,取得目标的信任,并散播名为“EyePyramid”的恶意软件。通过对该起攻击事件的研究,亚信安全总结了攻击特征,来帮助企业用户完善网络安全防护策略。
首先,攻击者会针对特定域�������名的电子邮箱(如@gmail.it、@yahoo.com等),窃取受害者联系人的电子邮件帐号。
其次,�����攻击者会利用该邮件账号发送恶意邮件,������将附加恶意软件原本的扩展名(.exe)变更,并设法以直接或间接的方式感染重点受害者的电脑。
最后,攻击者在电脑上执行恶意软件时,它会自动更�������新自己,窃取受害者的电子邮件帐号,并通过HTTP/HTTPS将收集的信息传送到制定的地址,同时将����这些电子邮件帐号加到攻击者所用的已入侵帐号列表,以继续散播给其他受害者。
【EyePyramid感染流程】
首次执行时,恶意软件会将自己复制到硬盘上(通常��������是根目录C:\),使用从随机列表中选出的文件名称,恶意软件会修改CurrentVersion\Run和CurrentVersion\RunOnce代码,将这些代码加入恶意软件路径以确保每次用户登录时都会执行恶意软件,以实现持续性感染。
E�����yePyramid恶意软件的一个有趣特性是使用公开的第三方代码或开放的原始代码库,这使得其程序代码往往会在不同的变种中重复使用,但是,并非所有变种都使用相同的程序库组合。
EyePyramid的主要特性是窃取文件,它会寻找.pst扩展名的文件,该扩展名被各种应用程序(包�������括Microsoft Exchange客户端,Windows Messaging和Microsoft Outlook)用于储存邮件、备忘录和其他类似信息。
EyePyramid会针对各种安全工具,尝试停用安全软件的即时保护机制,防止防毒������相关������程序被启动。
恶意软件使用三个工具进行混淆:Skater、Dotfuscator、ConfuserEx。因此,软件会让一般的除错和虚拟机动态分析无法进行,不过识别难度比较低,很多安全软件可以轻松�������发现。但是,定制化字串加密/混淆被用来处理字串,却让反编译原始代码无法被直接读取。特别是多数样本都用Skater加Dotfuscator用3DES来加密字串,序列化后转成字元组阵列。
从纯粹的技术角度来看,EyePyramid恶意软件的来源及其更多信息仍在进一步������调查获取中,而恶意软件攻击者也会使用多种的机制来掩盖其痕迹(例如模糊、封装、加密、停用安全工具),这在一定程度上加大了防护的难度。亚信安全建议企业用户建立立体化的防御策略,部署更先进、更全面的防护手段。此外,威胁情报共享和定制化解决方案对于防止和识别此类针对性攻击而言越来越重要,亚信安全将全力协助企业用户远离此类风险。
行业热点:
