“您的主机已被接管!”新型 JavaScript 远控木马花样来袭
2022-8-30 15:30:33 Author: www.secpulse.com(查看原文) 阅读量:33 收藏

恶意文件家族:

Sliemerez

威胁类型:

远控木马

简单描述:

Sliemere是一款使用 JavaScript 编写的多功能病毒,具有加载远程文件、权限维持及远控行为。该病毒最近开始变型传播,最早可追溯到17年。 

恶意文件分析

1.恶意文件描述

近期,深信服深盾终端实验室在运营工作中捕获到一款潜伏已久的使用 JavaScript 编写的多功能病毒,该病毒具有加载远程文件、权限维持及远控行为。该病毒最近开始变型传播,最早可追溯到17年。

2.恶意文件分析

该样本经过多次编码、替换,绕过静态文件检测。

经过替换解码之后的部分内容如下:

这部分代码会释放一个 JS 文件,同时从远程服务器下载一个 exe 文件到 %appdata% 目录并执行,该服务器已经失效,无法获取下载的 exe;释放出来的文件部分内容如下:

收集当前主机环境:

在执行的时候会查看某一注册表项判断脚本时候已经运行过、判断脚本位置是否在环境是否在根目录。

权限维持:

在判断主机环境之后该脚本会把自身写入到注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 下,同时将文件拷贝到用户的启动目录中,主机在开机时会自动执行该脚本。

远控:

在执行完维权之后会进入一个永真的循环中,该循环会持续收集主机的磁盘、主机名、用户名、系统版本、杀软、运行环境等信息并通过 HTTP POST 方法回传到 C2 服务器,并从服务器接受返回指令,通过对应的指令执行不同的操作,每次回传间隔 7000ms:

该脚本支持的指令如下:

解决方案

处置建议

1. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

2. 定期使用杀毒软件进行全盘扫描。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/186442.html


文章来源: https://www.secpulse.com/archives/186442.html
如有侵权请联系:admin#unsafe.sh