这款银行木马被发现使用了NSA“永恒之蓝”EXP

zhaorong · 发表于其他 2017-9-30 11:49:57


	研究人员发现了一款名为Retefe的银行木马，这款木马使用了与美国国家安全局相关的永恒之蓝exp。跟之前使用永恒之蓝的病毒不同，这个银行木马没有用exp进行循环传播。事实上，病毒是通过垃圾邮件传播的，而通过永恒之蓝漏洞传播的病毒版本没有exp。永恒之蓝是一款跟NSA有关的exp，今年三月，微软发布了针对漏洞的补丁，一个月后， shadowbrokers公布了exp。这个漏洞利用Windows服务器消息(SMB)中的漏洞，使用445端口自动传播恶意程序。而在今年5月的WannaCry勒索事件中，病毒作者也是使用了这款exp使得传统的勒索病毒具备蠕虫特性，因此造成了病毒广泛传播。最近一次针对瑞士用户的攻击中，Proofpoint从收集到的部分Retefe样本中发现它也使用了永恒之蓝进行横向传播。 Retefe银行木马自2013年开始活跃，主要的攻击目标是澳大利亚、瑞士、瑞典和日本的用户。恶意软件会把银行的流量引导到代理服务器，代理服务器往往架设在Tor网络中。工作原理最近，病毒往往通过垃圾邮件传播，邮件附件是一个微软office文档。利用社会工程学，攻击者会让用户下载恶意payload。最近的攻击中，下载的payload是一个自解压的zip文件，文件里面是一个经过多重混淆的Javascript安装器。研究代码后研究人员发现，最近的样本中包含一个新的参数，用来调用永恒之蓝exp。这些代码参考了github上的一段poc代码，但是代码中还包含安装记录和配置细节。上周，参数被调整，只剩下了记录功能。 “永恒之蓝exp会从远程服务器下载PowerShell脚本，该服务器本身包含一个安装Retefe的嵌入式可执行文件。 Proofpoint表示，这种安装方式没有能让EternalBlue进一步横向传播的模块，因此没有进行循环传播。” 研究人员还发现，今年6月和8月的病毒版本还兼容了MacOS。 Proofpoint还指出，“虽然Retefe的传播远远不如Dridex或The Trick这样的其他银行木马，但以瑞士银行为重点，Retefe有很多高级目标。此外，我们正在观察到病毒的针对性攻击愈发增加，随着永恒之蓝exp的加入，一旦有目标主机被入侵，就可能在网络中进一步传播。”

微信扫一扫分享朋友圈

这款银行木马被发现使用了NSA“永恒之蓝”EXP

本帖子中包含更多资源

浏览过的版块

微信扫一扫 分享朋友圈

这款银行木马被发现使用了NSA“永恒之蓝”EXP

本帖子中包含更多资源

浏览过的版块

微信扫一扫分享朋友圈