黑客利用卡巴斯基和微軟安全軟件安裝窺探木馬

近日，Palo Alto Networks的研究小組發(fā)現(xiàn)了一個新的木馬（窺探木馬），它可以利用電腦的安全軟件荷載DLL，然后將其安裝在電腦上。
 

也許安裝在你的電腦上的安全軟件已經(jīng)不那么安全了。該研究小組將他們新發(fā)現(xiàn)的木馬稱為Bookworm。Palo Alto Networks聲稱Bookworm與PlugX RAT有一些很明顯的聯(lián)系。目前，這個木馬被觀察到活動于一個高持續(xù)性威脅(APT)組,其主要活躍于泰國。
 

從前景來看，Bookworm是最新趨勢的一個擴展，也就是它會使用模塊化的惡意軟件。模塊化的惡意軟件就是在惡意軟件上配備自行安裝的能力，并且由于它是多層運行的，識別它們變得非常困難。遠(yuǎn)程指揮和控制服務(wù)器通常被用于確定需要上傳什么內(nèi)容，它通常會根據(jù)感染目標(biāo)設(shè)備的概要進(jìn)行分析。
 

Bookworm木馬擁有簡單的內(nèi)部架構(gòu)：一種XOR算法被用于加密各種惡意的DLL，然后一個自述文件將它們綁在一起。
 

當(dāng)一些DLL被寫入自解壓RAR存檔文件后，可執(zhí)行文件會跟自述文件放在一起。然后這個RAR存檔文件會跟應(yīng)用程序壓縮在一起，創(chuàng)建出一個被稱為智能安裝程序制造者的安裝包。這個應(yīng)用程序會創(chuàng)建一個安裝程序，在被黑客發(fā)布后會觸發(fā)一個自解壓式硬件，并且卸載受感染的自述文件，DLL以及EXE。一旦完成了安裝的工作，EXE會自動啟動，并從微軟惡意軟件防護(hù)(MsMpEng.exe)或卡巴斯基反病毒(ushata.exe)或兩者中尋找可執(zhí)行文件。在定位時，EXE會邊荷載Dll到這些安全產(chǎn)品中，并將自己偽裝成微軟應(yīng)用程序，然后利用這些安全應(yīng)用的權(quán)限來進(jìn)行安裝。
 

現(xiàn)在，Bookworm會提取和加載自述文件中的其他模塊，它還開始與指揮和控制服務(wù)器進(jìn)行通信,通過受感染的設(shè)備將數(shù)據(jù)發(fā)送到服務(wù)器。
 

但是研究者們沒有提到Bookworm加載或下載時的模塊類型,因為他們的研究受到了阻礙——這個木馬在與C&C服務(wù)器通信時使用了四種不同的加密算法。這些算法包括RC4、AES、XOR和LZO。