常规银行木马只单向通信,SocketPlayer感染路径
6月12日讯 据安全公司 g data 近期一份报告称,最近发现的远程访问木马 socketplayer 正在使用一个专门的程序库 socket.io,操作者可以此与被感染的设备进行交互,而不需要“信标” 消息。
常规银行木马只单向通信
socketplayer 后门与大多数使用典型单向通信系统的银行木马、后门及键盘记录程序不同,它通过使用 socket.io 库,可在应用程序之间实现实时的双向通信,根据这个特性,恶意软件处理程序不再需要等待被感染的设备启动通信,攻击者可以自行联系被感染的计算机。
据称,后门 socketplayer 一旦在被入侵的机器上安装成功,便能接收操作者的命令并执行各种操作,如嗅探驱动器、屏幕截图、抓取和运行代码等。研究人员还发现,socketplayer 还能够选择性采用其他功能,例如,作为键盘记录器,尽管在后门中没有实际的键盘记录功能。目前看似还没有过具体使用情况。
socketplayer感染路径
后门 socketplayer 的感染路径始于 downloader 的沙盒系统检测,如果通过检测,downloader 会下载一个可执行文件并进行解密,然后使用 invoke 方法在内存中运行该解密程序。
被调用的程序会为宿主创建一个套接字连接(宿主为http://93.104.208.17:5156/socket.io),同时还要创建一个可实现持久化的注册表键。接下来检查是否存在 process handler/ folder,如果没有,就需要创建一个。之后,还需创建一个值为“handler”的自动启动键。
此外,socketplayer 还会下载另一个可下载 socketplayer 的可执行文件,解密并在内存中运行。
两个变种
g data 的安全研究员在研究过程中发现了 socketplayer 后门的两个变种:
第一个变种是一个大约100kb的文件,用以充当可从网站上执行任意代码的 downloader;
第二个变种则具备更复杂的功能,包括检测和规避沙箱机制。
据 g data 的技术报告称,socketplayer 的第一个变种的第一个样本已于3月28日首次提交给 virustotal(免费的可疑文件分析服务网站),并在3月31日提交了该变种的第二个样本。此外,socketplayer 的第二个变种也存在两个版本。
安全研究人员注意到,socketplayer 的两个变种之间经历了一系列的变化,包括:
命令和控制(c&c)端口
文件位置
初始流程所发送的信息
在服务器中新添加了命令
在恶意软件中新添加功能
upldex 的存储位置等
恶意软件通过某印度网站分发
报告显示,已知的恶意软件样本通过一个印度网站进行分发,但尚不清楚后门如何传播。但无论该网站是用于感染目的还是只是用于镜像,显然该恶意软件在很长一段时间内都未被注意到。
石油化工行业智能供应链管理系统解决方案
千元高端耳机卖断货!骨传导高端战局厮杀激烈,韶音不敌南卡
iRobot发布一对新的清洁机器人,协同工作,进行吸尘、拖地和除尘
AV/AR头戴设备“拯救”智能硬件市场
苹果公布了折叠屏手机专利方案将可能在2020年底或2021年初推出
常规银行木马只单向通信,SocketPlayer感染路径
芯圣电子通用型8051单片机——HC89F03X2系列
糖果翻译手机S20评测 在翻译这一方面确实做到了实力超群
华为Mate10什么时候上市?华为Mate10具有全面屏外观和麒麟970的配置,誓要干翻iPhone8!
AI推理芯片,比你想象难!
蚁利全息装配式展柜特点
AlphaFold2的技术细节和局限与意义
如何用ATmega 16单片机驱动字符型液晶显示芯片
可调稳压电源制作图解
LED连接方式与恒流二极管的小功率LED驱动电路设计的详细方法分析
京东叮咚PLAY体验 增加的不止是屏幕仍具备广阔可能
2020全球人工智能技术大会将登陆杭州未来科技城
英特尔NUC 10即将发布,十代酷睿将Mini PC带入新时代
谈防火墙及防火墙的渗透技术
供暖锅炉PLC温控系统如何实现智能监控运维
常规银行木马只单向通信
socketplayer 后门与大多数使用典型单向通信系统的银行木马、后门及键盘记录程序不同,它通过使用 socket.io 库,可在应用程序之间实现实时的双向通信,根据这个特性,恶意软件处理程序不再需要等待被感染的设备启动通信,攻击者可以自行联系被感染的计算机。
据称,后门 socketplayer 一旦在被入侵的机器上安装成功,便能接收操作者的命令并执行各种操作,如嗅探驱动器、屏幕截图、抓取和运行代码等。研究人员还发现,socketplayer 还能够选择性采用其他功能,例如,作为键盘记录器,尽管在后门中没有实际的键盘记录功能。目前看似还没有过具体使用情况。
socketplayer感染路径
后门 socketplayer 的感染路径始于 downloader 的沙盒系统检测,如果通过检测,downloader 会下载一个可执行文件并进行解密,然后使用 invoke 方法在内存中运行该解密程序。
被调用的程序会为宿主创建一个套接字连接(宿主为http://93.104.208.17:5156/socket.io),同时还要创建一个可实现持久化的注册表键。接下来检查是否存在 process handler/ folder,如果没有,就需要创建一个。之后,还需创建一个值为“handler”的自动启动键。
此外,socketplayer 还会下载另一个可下载 socketplayer 的可执行文件,解密并在内存中运行。
两个变种
g data 的安全研究员在研究过程中发现了 socketplayer 后门的两个变种:
第一个变种是一个大约100kb的文件,用以充当可从网站上执行任意代码的 downloader;
第二个变种则具备更复杂的功能,包括检测和规避沙箱机制。
据 g data 的技术报告称,socketplayer 的第一个变种的第一个样本已于3月28日首次提交给 virustotal(免费的可疑文件分析服务网站),并在3月31日提交了该变种的第二个样本。此外,socketplayer 的第二个变种也存在两个版本。
安全研究人员注意到,socketplayer 的两个变种之间经历了一系列的变化,包括:
命令和控制(c&c)端口
文件位置
初始流程所发送的信息
在服务器中新添加了命令
在恶意软件中新添加功能
upldex 的存储位置等
恶意软件通过某印度网站分发
报告显示,已知的恶意软件样本通过一个印度网站进行分发,但尚不清楚后门如何传播。但无论该网站是用于感染目的还是只是用于镜像,显然该恶意软件在很长一段时间内都未被注意到。
石油化工行业智能供应链管理系统解决方案
千元高端耳机卖断货!骨传导高端战局厮杀激烈,韶音不敌南卡
iRobot发布一对新的清洁机器人,协同工作,进行吸尘、拖地和除尘
AV/AR头戴设备“拯救”智能硬件市场
苹果公布了折叠屏手机专利方案将可能在2020年底或2021年初推出
常规银行木马只单向通信,SocketPlayer感染路径
芯圣电子通用型8051单片机——HC89F03X2系列
糖果翻译手机S20评测 在翻译这一方面确实做到了实力超群
华为Mate10什么时候上市?华为Mate10具有全面屏外观和麒麟970的配置,誓要干翻iPhone8!
AI推理芯片,比你想象难!
蚁利全息装配式展柜特点
AlphaFold2的技术细节和局限与意义
如何用ATmega 16单片机驱动字符型液晶显示芯片
可调稳压电源制作图解
LED连接方式与恒流二极管的小功率LED驱动电路设计的详细方法分析
京东叮咚PLAY体验 增加的不止是屏幕仍具备广阔可能
2020全球人工智能技术大会将登陆杭州未来科技城
英特尔NUC 10即将发布,十代酷睿将Mini PC带入新时代
谈防火墙及防火墙的渗透技术
供暖锅炉PLC温控系统如何实现智能监控运维