跟踪分析一款新型Megahorse窃密木马

前言

最近几年黑客组织利用各种不同类型的恶意软件进行的网络犯罪活动越来越多,这些恶意软件包含勒索病毒、挖矿病毒、APT远控后门、银行木马、僵尸网络等,企业的数据一直是企业的核心资产,勒索攻击也由最初始的单纯的通过某个单一漏洞传播勒索病毒加密勒索受害者,转变为通过后门长期潜伏窃取企业核心数据之后,通过公开或出售企业核心数据来勒索企业,窃取企业的核心数据成了勒索攻击的一种新的运营模式,事实上利用恶意软件监控窃取主机的数据一直是一些高端黑客组织获利的主要手段,只是最近几年勒索病毒的发展,勒索病毒带来暴利,让这些技术成熟的黑客组织似乎看到了新的利益增长点,从而转变为通过获取的数据来勒索企业,而不仅仅是在地下暗网进行出售了,技术成熟的黑客组织一般会针对企业的一些重点人员进行定向APT攻击,寻找相关的突破口,再长期潜伏盗取到重要的数据之后,再利用其他手法入侵盗取企业核心数据资产,整个攻击过程可以持续几个月、几年、甚至十几年、潜伏的时间越长,获取到的数据就越多,这些收集到的重要数据为后期更进一步的攻击提供了重要的支撑,搞渗透的应该都知道,渗透攻击的关键之一就是前期情报数据的收集,前期收集到的情报数据越多,后期攻击的突破点就会越多,攻陷目标的可能性就越大。

数据安全是未来安全防护的重点,尽管各个企业都在通过各种手段保护企业的核心数据,但其实安全就是人与人的斗争,人就是最大的突破口,有些数据的泄露是人为的,也就是之前笔者提到“内鬼”作案,也称为“间谍”,这些“间谍”潜伏在某个国家的重要的政企单位以及各大型企业当中,专门从事各种重要核心数据的窃取活动,有些数据的丢失主要通过植入各种窃密远控后门等“间谍”木马获取,所以数据窃取分两种,一种人肉间谍程序,一种机器间谍程序。

现在各种新型的窃密远控后门类的“间谍”木马在地下黑客论坛和暗网上进行公开出售,地下黑客论坛和暗网中的很多恶意软件也都以一种MAAS(恶意软件即服务)的模式在运营,就像此前很多主流的勒索软件都是以一种RAAS模式运营一样,黑客将购买的这些新型的窃密后门被植入到受害者主机上,实时监控盗取受害者重要数据,说不定现在已经有很多企业以及个人电脑早就被植入了各种窃密远控类木马,黑客正在暗中监控和获取你的重要数据。

样本分析

国外某安全研究人员发现了一个新型的窃密木马,命名为Megahorese窃密木马,样本的编译时间为:2021年4月26日,如下所示:

这款窃密木马使用了 Themida/Winlicense(2.X)加壳处理,如下所示:

脱壳之后,相关代码,如下所示:

这款窃密木马会反沙箱和反虚拟机,如下所示:

反调试,如下所示:

木马检测的调试工具,多达几十种,如下所示:

这款窃密木马功能非常强大,会收集受害者机器上的各种重要数据,包含:

主机上的指定类型的文件、浏览器(密码、Cookie数据,下载记录、历史记录)、FTP数据、VPN数据、Telegram数据、Discord数据、数字钱包数据(Bitcoin Core、以太坊、ElectrumLTC、Monero、Electrum、Dash、Litecoin、ZCash等)、系统相关数据等,如下所示:

将获取到的这些数据压缩打包加密发送到黑客的Mega邮箱服务器,如下所示:

黑客Mega邮件服务器上获取的受害者数据,如下所示:

获取到的数据记录格式,如下所示:

通过分析这些数据发现黑客已经盗取了受害者很多数据,包含各种帐号和密码等。

最后说点题外话,猜测为啥黑客取名为Megahorse窃密木马,应该就是通过Mega邮件服务器来存储获取到的受害者数据,所以取名为Megahorse,目前这款新型的窃密木马已经在国外开始传播流行起来,未来这款木马会不会有更多的受害者,会不会传播到国内,需要持续的跟踪和分析。

总结

现在各种不同类型的恶意软件流行,全球的一些技术成熟的黑客组织也在不断的研发各种新型的恶意软件,这些恶意软件被用作网络攻击武器进行网络犯罪活动,有些黑客组织也会购买其他黑客组织开发的恶意软件进行攻击,恶意软件已经发展成了一套MAAS(恶意软件即服务)的运营模式,一些全球知名的恶意软件背后的运营团队已经非常成熟,整个产业链也已经非常完整。

此前笔者一直说安全的未来其实会变成一种服务,原因很简单,因为未来各种黑客组织的网络犯罪攻击活动也将会以一种服务的形式存在,这些服务可以给黑客组织自己使用,也可以提供给他们的“客户”,这些黑客组织通过给他们的“客户”提供各种黑客服务,帮助这些黑客组织的“客户”获取到目标的重要的数据或达到某个目的,黑客即服务会成为未来的一种趋势,那么安全即服务也将成为安全行业的未来。

美国一直声称自己是受害者,经常被其他黑客组织攻击啥的,其实自己一直在全球从事各种黑客攻击活动,同时还会与一些成熟的黑客组织进行“合作”,2016年NSA被黑之后,也曝光了一些NSA的攻击工具,2016年8月份,一群黑客入侵了NSA下属的“方程式黑客组织(Equation Group)”,这群黑客就是"影子经纪人(The Shadow Brokers)",他们盗取了NSA下方程式黑客组织的黑客工具包,这是继2015年Hacking Team被黑事件之后,又一次经典的“黑吃黑”,NSA工具包中包含大量的0day,木马远控等网络攻击武器,棱镜计划也说明了美国其实一直在从事相关的黑客组织攻击活动,研究各种恶意软件以漏洞,目的就是监控全球的其他多个国家,事实上除了美国国家安全局、中央情报局,美军网军也在开发自己的网络武器,美国已经是世界上头号网络武器大国,这样一个网络武器大国却一直控告其他国家进行网络安全攻击武器的研发和行动?哈哈哈哈

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/469929.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

从零开始做题:逆向 ret2libc jarvisoj level1

1.题目信息 BUUCTF在线评测 2.原理 篡改栈帧上的返回地址为攻击者手动传入的shellcode所在缓冲区地址,并且该区域有执行权限。 3.解题步骤 3.1 首先使用checksec工具查看它开了啥保护措施 基本全关,栈可执行。 rootpwn_test1604:/ctf/work/9# chec…

Excel练习:日历

Excel练习:日历 ‍ 题目:制作日历 ‍ ​​ 用rows和columns函数计算日期单元格偏移量 一个公式填充所有日期单元格 ​​ ‍

点云旋转处理

实现代码为&#xff1a; //以中心化点进行旋转double theta atan(maindirection.a);//计算的是弧度单位for (int i 0; i < origipts.size(); i){pcl::PointXYZ tempone;tempone.x aftercenerlizepts[i].x*cos(theta) aftercenerlizepts[i].y*sin(theta) center.x;temp…

PHP+vue+mysql校园学生社团管理系统574cc

运行环境:phpstudy/wamp/xammp等 开发语言&#xff1a;php 后端框架&#xff1a;Thinkphp 前端框架&#xff1a;vue.js 服务器&#xff1a;apache 数据库&#xff1a;mysql 数据库工具&#xff1a;Navicat/phpmyadmin 前台功能&#xff1a; 首页&#xff1a;展示社团信息和活动…

Dynamo设置明细表字段格式——保留小数位数

Hello大家好&#xff01;我是九哥~ 今天简单分享一个API的用法&#xff0c;就是设置明细表的中字段的字段格式。 本次呢&#xff0c;主要介绍下如何通过Dynamo设置长度、面积等几种字段的格式&#xff0c;设置小数位数的显示&#xff0c;如下图&#xff1a; 当然了&#xf…

步步深入 k8s 使用 pv pvc sc 在 nfs 基础上共享存储

博客原文 文章目录 前言集群环境nfs 环境搭建pod 挂载 nfs架构图 pvc 方式挂载 nfs架构图 storageclass 方式动态申请 pv架构图 参考 前言 持久化卷&#xff08;Persistent Volume, PV&#xff09;允许用户将外部存储映射到集群&#xff0c;而持久化卷申请&#xff08;Persist…

全面理解JVM虚拟机

为什么要学JVM&#xff1f; ​ 首先&#xff1a;面试需要。面试题层出不穷&#xff0c;难道每次面试都靠背几百上千条面试八股&#xff1f; ​ 其次&#xff1a;基础决定上层建筑。自己写的代码都不知道是怎么回事&#xff0c;怎么可能写出靠谱的系统&#xff1f; ​ 然后&a…

【Web】从零开始的js逆向学习笔记(上)

目录 一、逆向基础 1.1 语法基础 1.2 作用域 1.3 窗口对象属性 1.4 事件 二、浏览器控制台 2.1 Network Network-Headers Network-Header-General Network-Header-Response Headers Network-Header-Request Headers 2.2 Sources 2.3 Application 2.4 Console 三、…

降噪和音频修复 iZotope RX 7 Advanced

iZotope RX 7 Advanced 是一款功能强大的音频修复和增强软件&#xff0c;它能够帮助用户轻松应对各种音频问题&#xff0c;提供全面的工具和技术来优化和改善音频质量。 首先&#xff0c;iZotope RX 7 Advanced 具有出色的降噪功能。无论是背景噪音、杂音还是其他干扰因素&…

鲁南制药“健康幸福中国年”主题航班,开启探寻健康与幸福的旅程

“小年&#xff0c;小年&#xff0c;过了今天就是年。”提到过年&#xff0c;北方人的“过年”是从腊月二十三的“小年”开始的&#xff0c;而南方地区是在明天。虽然时间不同&#xff0c;但是浓浓的年味是一样的&#xff0c;红彤彤是主色调&#xff0c;喜洋洋是主乐曲&#xf…

【机器学习案例3】从科学论文图片中提取标题、作者和摘要【含源码】

在这个项目中,我的目标是从科学论文图片中提取某些部分(标题、作者和摘要)。预期提取部分是科学论文中常见的部分,例如标题、摘要和作者。输入与最终结果。我的输入是将第一页纸转换成图像。最终结果是一个 txt 文件,其中包含标题、作者和摘要部分,如下图1和图2所示。我将…

山西电力市场日前价格预测【2024-02-11】

日前价格预测 预测说明&#xff1a; 如上图所示&#xff0c;预测明日&#xff08;2024-02-11&#xff09;山西电力市场全天平均日前电价为121.99元/MWh。其中&#xff0c;最高日前电价为475.98元/MWh&#xff0c;预计出现在19:00。最低日前电价为0.00元/MWh&#xff0c;预计出…