我們注意到惡意軟件會檢測蘋果設備,例如iPhone和iPad�����,而它們設備并沒有開放的HTTP端口���。然而,需要注意的是���,從這些字符串可以看出�����,它更加關注路由器����。我們發(fā)現(xiàn)惡意軟件使用以下名字搜索路由器等設備:
dlink
d-link
laserjet
apache
cisco
gigaset
asus
apple
iphone
ipad
logitech
samsung
xbox
圖5 搜索蘋果設備
一旦惡意軟件對網絡中的設備搜索結束,它會利用base64編碼和一個自定義的加密算法對搜索結果加密����。然后,通過HTTP協(xié)議將加密后的結果發(fā)送到一個遠程C&C服務器���。
圖6 加密搜索結果
圖7 發(fā)送結果到C&C服務器
惡意軟件成功發(fā)送結果之后,就從受害者電腦上自我刪除��,并清除它的任何蹤跡��。攻擊者使用下面的命令來實現(xiàn)這些操作:
exe /C ping 1.1.1.1 -n 1 -w 3000 > Nul & Del“%s”
相關文件哈希:
a375365f01fc765a6cf7f20b93f13364604f2605
猜測:可能是攻擊活動的“先行軍”
根據(jù)惡意軟件的行為可猜測��,它可能只是攻擊者用來收集情報的先行部隊���,這些信息很可能會被用來發(fā)動一場大型惡意活動�����。收集來的信息可能會被存儲并用作以后的跨站請求偽造(CSRF)等攻擊��,因為如果攻擊者手中已經有了特定IP的登錄憑證�,那么以后的攻擊將變得更加容易。當然�����,我們并不十分確定�����,但是考慮到該惡意軟件的執(zhí)行流程以及行為表現(xiàn)�����,這似乎是最有可能發(fā)生的場景�。
安全建議
無論攻擊者的最終目標是什么,這個惡意軟件都向我們展示了設備安全的重要性�,即使那些不太可能成為目標的設備也需要關注其安全。所以����,用戶應該經常修改路由器的登錄憑證,最好設置成強密碼��。此外,用戶還可以選擇密碼管理軟件來幫助他們管理所有的密碼�。
小編推薦閱讀
