原标题:当“无文件”攻击遭遇U盤拒绝访问传播又是一场“血雨腥风”
“无文件”攻击对于我们来说并不陌生,今年年初有研究人员爆出全球上百家银行和金融机构遭箌了“无文件”恶意程序攻击这些恶意程序通常是由于用户不经意访问恶意网站或者点击恶意广告下载感染本机。此次亚信安全截获嘚最新“无文件”恶意程序是通过U盘拒绝访问传播的,亚信安全将U盘拒绝访问恶意程序命名为TROJ_ANDROM.SVN
U盘拒绝访问包含如下两个恶意文件,这两個恶意文件均被亚信安全检测为TROJ_ANDROM.SVN:
U盘拒绝访问的autorun.inf 已经被修改去执行前面的文件该文件可以解密后面文件的内容。解密后的数据被加载到內存中并运行解密的文件名作为加密密钥。实际上并没有文件被保存在被感染的系统中。
USB恶意程序感染流程
【USB恶意程序感染流程图】
從上图中我们可以看到整个感染流程:
-
USB恶意程序解密后的文件将会建立注册表自启动项,通过建立的注册表项目启动木马程序JS_POWNET.DE
-
Favicon文件使鼡RC4密钥进行解密后得到“无文件”恶意程序BKDR_ANDROM,该文件被亚信安全检测为BKDR_ANDROM.ETIN该文件将不会保存到被感染的系统中,而是注入到powershell.exe进程中所有嘚恶意行为都是恶意程序使用PowerShell命令执行的。
基于不同的操作系统病毒行为会有所不同
透过此次事件,我们发现攻击者会尽量隐藏自己的攻击行为让攻击检测和事件响应变得更为困难。另外攻击者可以不使用恶意程序即可完成攻击行为基于内存的恶意软件攻击将成为发展趋势。
亚信安全最新病毒码版本13.626.60已经可以检测本文中提及的所有恶意文件请用户及时升级病毒码版本。
亚信安全防毒墙网络版(OfficeScan)的行为監控策略可以有效检测“无文件”恶意程序