黑客利用卡巴斯基和微軟安全軟件安裝窺探木馬

近日，Palo Alto Networks的研究小組發(fā)現(xiàn)了一個(gè)新的木馬（窺探木馬），它可以利用電腦的安全軟件荷載DLL，然后將其安裝在電腦上。
 

也許安裝在你的電腦上的安全軟件已經(jīng)不那么安全了。該研究小組將他們新發(fā)現(xiàn)的木馬稱為Bookworm。Palo Alto Networks聲稱Bookworm與PlugX RAT有一些很明顯的聯(lián)系。目前，這個(gè)木馬被觀察到活動(dòng)于一個(gè)高持續(xù)性威脅(APT)組,其主要活躍于泰國(guó)。
 

從前景來(lái)看，Bookworm是最新趨勢(shì)的一個(gè)擴(kuò)展，也就是它會(huì)使用模塊化的惡意軟件。模塊化的惡意軟件就是在惡意軟件上配備自行安裝的能力，并且由于它是多層運(yùn)行的，識(shí)別它們變得非常困難。遠(yuǎn)程指揮和控制服務(wù)器通常被用于確定需要上傳什么內(nèi)容，它通常會(huì)根據(jù)感染目標(biāo)設(shè)備的概要進(jìn)行分析。
 

Bookworm木馬擁有簡(jiǎn)單的內(nèi)部架構(gòu)：一種XOR算法被用于加密各種惡意的DLL，然后一個(gè)自述文件將它們綁在一起。
 

當(dāng)一些DLL被寫入自解壓RAR存檔文件后，可執(zhí)行文件會(huì)跟自述文件放在一起。然后這個(gè)RAR存檔文件會(huì)跟應(yīng)用程序壓縮在一起，創(chuàng)建出一個(gè)被稱為智能安裝程序制造者的安裝包。這個(gè)應(yīng)用程序會(huì)創(chuàng)建一個(gè)安裝程序，在被黑客發(fā)布后會(huì)觸發(fā)一個(gè)自解壓式硬件，并且卸載受感染的自述文件，DLL以及EXE。一旦完成了安裝的工作，EXE會(huì)自動(dòng)啟動(dòng)，并從微軟惡意軟件防護(hù)(MsMpEng.exe)或卡巴斯基反病毒(ushata.exe)或兩者中尋找可執(zhí)行文件。在定位時(shí)，EXE會(huì)邊荷載Dll到這些安全產(chǎn)品中，并將自己偽裝成微軟應(yīng)用程序，然后利用這些安全應(yīng)用的權(quán)限來(lái)進(jìn)行安裝。
 

現(xiàn)在，Bookworm會(huì)提取和加載自述文件中的其他模塊，它還開始與指揮和控制服務(wù)器進(jìn)行通信,通過(guò)受感染的設(shè)備將數(shù)據(jù)發(fā)送到服務(wù)器。
 

但是研究者們沒(méi)有提到Bookworm加載或下載時(shí)的模塊類型,因?yàn)樗麄兊难芯渴艿搅俗璧K——這個(gè)木馬在與C&C服務(wù)器通信時(shí)使用了四種不同的加密算法。這些算法包括RC4、AES、XOR和LZO。