跟踪分析一款新型Megahorse窃密木马

前言

最近几年黑客组织利用各种不同类型的恶意软件进行的网络犯罪活动越来越多,这些恶意软件包含勒索病毒、挖矿病毒、APT远控后门、银行木马、僵尸网络等,企业的数据一直是企业的核心资产,勒索攻击也由最初始的单纯的通过某个单一漏洞传播勒索病毒加密勒索受害者,转变为通过后门长期潜伏窃取企业核心数据之后,通过公开或出售企业核心数据来勒索企业,窃取企业的核心数据成了勒索攻击的一种新的运营模式,事实上利用恶意软件监控窃取主机的数据一直是一些高端黑客组织获利的主要手段,只是最近几年勒索病毒的发展,勒索病毒带来暴利,让这些技术成熟的黑客组织似乎看到了新的利益增长点,从而转变为通过获取的数据来勒索企业,而不仅仅是在地下暗网进行出售了,技术成熟的黑客组织一般会针对企业的一些重点人员进行定向APT攻击,寻找相关的突破口,再长期潜伏盗取到重要的数据之后,再利用其他手法入侵盗取企业核心数据资产,整个攻击过程可以持续几个月、几年、甚至十几年、潜伏的时间越长,获取到的数据就越多,这些收集到的重要数据为后期更进一步的攻击提供了重要的支撑,搞渗透的应该都知道,渗透攻击的关键之一就是前期情报数据的收集,前期收集到的情报数据越多,后期攻击的突破点就会越多,攻陷目标的可能性就越大。

数据安全是未来安全防护的重点,尽管各个企业都在通过各种手段保护企业的核心数据,但其实安全就是人与人的斗争,人就是最大的突破口,有些数据的泄露是人为的,也就是之前笔者提到“内鬼”作案,也称为“间谍”,这些“间谍”潜伏在某个国家的重要的政企单位以及各大型企业当中,专门从事各种重要核心数据的窃取活动,有些数据的丢失主要通过植入各种窃密远控后门等“间谍”木马获取,所以数据窃取分两种,一种人肉间谍程序,一种机器间谍程序。

现在各种新型的窃密远控后门类的“间谍”木马在地下黑客论坛和暗网上进行公开出售,地下黑客论坛和暗网中的很多恶意软件也都以一种MAAS(恶意软件即服务)的模式在运营,就像此前很多主流的勒索软件都是以一种RAAS模式运营一样,黑客将购买的这些新型的窃密后门被植入到受害者主机上,实时监控盗取受害者重要数据,说不定现在已经有很多企业以及个人电脑早就被植入了各种窃密远控类木马,黑客正在暗中监控和获取你的重要数据。

样本分析

国外某安全研究人员发现了一个新型的窃密木马,命名为Megahorese窃密木马,样本的编译时间为:2021年4月26日,如下所示:

这款窃密木马使用了 Themida/Winlicense(2.X)加壳处理,如下所示:

脱壳之后,相关代码,如下所示:

这款窃密木马会反沙箱和反虚拟机,如下所示:

反调试,如下所示:

木马检测的调试工具,多达几十种,如下所示:

这款窃密木马功能非常强大,会收集受害者机器上的各种重要数据,包含:

主机上的指定类型的文件、浏览器(密码、Cookie数据,下载记录、历史记录)、FTP数据、VPN数据、Telegram数据、Discord数据、数字钱包数据(Bitcoin Core、以太坊、ElectrumLTC、Monero、Electrum、Dash、Litecoin、ZCash等)、系统相关数据等,如下所示:

将获取到的这些数据压缩打包加密发送到黑客的Mega邮箱服务器,如下所示:

黑客Mega邮件服务器上获取的受害者数据,如下所示:

获取到的数据记录格式,如下所示:

通过分析这些数据发现黑客已经盗取了受害者很多数据,包含各种帐号和密码等。

最后说点题外话,猜测为啥黑客取名为Megahorse窃密木马,应该就是通过Mega邮件服务器来存储获取到的受害者数据,所以取名为Megahorse,目前这款新型的窃密木马已经在国外开始传播流行起来,未来这款木马会不会有更多的受害者,会不会传播到国内,需要持续的跟踪和分析。

总结

现在各种不同类型的恶意软件流行,全球的一些技术成熟的黑客组织也在不断的研发各种新型的恶意软件,这些恶意软件被用作网络攻击武器进行网络犯罪活动,有些黑客组织也会购买其他黑客组织开发的恶意软件进行攻击,恶意软件已经发展成了一套MAAS(恶意软件即服务)的运营模式,一些全球知名的恶意软件背后的运营团队已经非常成熟,整个产业链也已经非常完整。

此前笔者一直说安全的未来其实会变成一种服务,原因很简单,因为未来各种黑客组织的网络犯罪攻击活动也将会以一种服务的形式存在,这些服务可以给黑客组织自己使用,也可以提供给他们的“客户”,这些黑客组织通过给他们的“客户”提供各种黑客服务,帮助这些黑客组织的“客户”获取到目标的重要的数据或达到某个目的,黑客即服务会成为未来的一种趋势,那么安全即服务也将成为安全行业的未来。

美国一直声称自己是受害者,经常被其他黑客组织攻击啥的,其实自己一直在全球从事各种黑客攻击活动,同时还会与一些成熟的黑客组织进行“合作”,2016年NSA被黑之后,也曝光了一些NSA的攻击工具,2016年8月份,一群黑客入侵了NSA下属的“方程式黑客组织(Equation Group)”,这群黑客就是"影子经纪人(The Shadow Brokers)",他们盗取了NSA下方程式黑客组织的黑客工具包,这是继2015年Hacking Team被黑事件之后,又一次经典的“黑吃黑”,NSA工具包中包含大量的0day,木马远控等网络攻击武器,棱镜计划也说明了美国其实一直在从事相关的黑客组织攻击活动,研究各种恶意软件以漏洞,目的就是监控全球的其他多个国家,事实上除了美国国家安全局、中央情报局,美军网军也在开发自己的网络武器,美国已经是世界上头号网络武器大国,这样一个网络武器大国却一直控告其他国家进行网络安全攻击武器的研发和行动?哈哈哈哈

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://xiahunao.cn/news/2780076.html

如若内容造成侵权/违法违规/事实不符,请联系瞎胡闹网进行投诉反馈,一经查实,立即删除!

相关文章

四.Linux实用操作 12-14.环境变量文件的上传和下载压缩和解压

目录 四.Linux实用操作 12.环境变量 环境变量 环境变量--PATH $ 符号 自行设置环境变量 自定义环境变量PATH 总结 四.Linux实用操作 13.文件的上传和下载 上传,下载 rz,sz命令 四.Linux实用操作 14.压缩和解压 压缩格式 tar命令 tar命令压缩…

uniapp微信小程序开发踩坑日记:Pinia持久化

如果你使用过Pinia,那你应该知道Pinia持久化插件:https://prazdevs.github.io/pinia-plugin-persistedstate/zh/ 但由于官方文档提供的说明并不是针对小程序开发,所以我们在使用这个插件实现uniapp小程序开发中Pinia持久化会出现问题 我在C…

Redis.conf 配置文件解读

1、单位 容量单位不区分大小写,G和GB没有区别 配置文件 unit单位 对大小写不敏感 2、组合配置 可以使用 include 组合多个配置问题 3、网络配置 bind 127.0.0.1 # 绑定的ip protected-mode yes # 保护模式 port 6379 # 端口设置4、通用 GENERAL daemoniz…

Arm发布新的人工智能Cortex-M处理器

Arm发布了一款新的Cortex-M处理器,旨在为资源受限的物联网(IoT)设备提供先进的人工智能功能。这款新的Cortex-M52声称是最小的、面积和成本效率最高的处理器,采用了Arm Helium技术,使开发者能够在单一工具链上使用简化…

吉他学习:C大调第一把位音阶,四四拍曲目练习 小星星,练习的目的

第十三课 C大调第一把位音阶https://m.lizhiweike.com/lecture2/29364198 第十四课 四四拍曲目练习 小星星https://m.lizhiweike.com/lecture2/29364131 C大调第一把位音阶非常重要,可以多练习&#x

华为云ModelBox实战:体感小游戏应用实操

目录 一、VsCode插件注册ModelBox设备二、Windows SDK安装1.安装Git for Windows2.下载ModelBox SDK3.相关插件安装 三、体感小游戏应用开发1.技能模板使用2.AI应用示例3.体感小游戏体验 参与华为云活动【HCSD】ModelBox实战营邀请活动,呼朋唤友学AIoT,完…

《统计学简易速速上手小册》第9章:统计学在现代科技中的应用(2024 最新版)

文章目录 9.1 统计学与大数据9.1.1 基础知识9.1.2 主要案例:社交媒体情感分析9.1.3 拓展案例 1:电商销售预测9.1.4 拓展案例 2:实时交通流量分析 9.2 统计学在机器学习和人工智能中的应用9.2.1 基础知识9.2.2 主要案例:预测客户流…

单片机学习笔记---AT24C02(I2C总线)

目录 有关储存器的介绍 存储器的简介 存储器简化模型 AT24C02介绍 AT24C02引脚及应用电路 I2C总线介绍 I2C电路规范 开漏输出模式和弱上拉模式 其中一个设备的内部结构 I2C通信是怎么实现的 I2C时序结构 起始条件和终止条件 发送一个字节 接收一个字节 发送应答…

fast.ai 深度学习笔记(六)

深度学习 2:第 2 部分第 12 课 原文:medium.com/hiromi_suenaga/deep-learning-2-part-2-lesson-12-215dfbf04a94 译者:飞龙 协议:CC BY-NC-SA 4.0 来自 fast.ai 课程的个人笔记。随着我继续复习课程以“真正”理解它,…

今日早报 每日精选15条新闻简报 每天一分钟 知晓天下事 2月12日,星期一

每天一分钟,知晓天下事! 2024年2月12日 星期一 农历正月初三 1、 注意错峰出行!今起全国公路网流量将处于高位运行状态。 2、 中国旅游研究院:预计2024年国内旅游人数或超60亿人次。 3、 阔别四年,北京、贵阳、张家…

【深度优先搜索】【树】【图论】2973. 树中每个节点放置的金币数目

作者推荐 视频算法专题 本博文涉及知识点 深度优先搜索 树 图论 分类讨论 LeetCode2973. 树中每个节点放置的金币数目 给你一棵 n 个节点的 无向 树,节点编号为 0 到 n - 1 ,树的根节点在节点 0 处。同时给你一个长度为 n - 1 的二维整数数组 edges…

树莓派4B(Raspberry Pi 4B)使用docker搭建阿里巴巴sentinel服务

树莓派4B(Raspberry Pi 4B)使用docker搭建阿里巴巴sentinel服务 由于国内访问不了docker hub,而国内镜像仓库又没有适配树莓派ARM架构的sentinel镜像,所以我们只能退而求其次——自己动手构建镜像。本文基于Ubuntu,Jav…

WPF中值转换器的使用

什么是值转换器 在WPF(Windows Presentation Foundation)中,值转换器(Value Converter)是一种机制,允许你在绑定时转换绑定源和绑定目标之间的值。值转换器实现了 IValueConverter 接口,该接口…

在VSCode中创建Java项目

在VSCode中创建Java项目 首先,保证安装了Java的JDK. WinR -> 输入cmd -> 输入 java -version -> 然后可以看到安装的JDK版本,如果没安装可以去找教程。 JDK安装参考教程 打开VSCode,打开扩展(Ctrl Shift S&#xff…

《动手学深度学习(PyTorch版)》笔记8.6

注:书中对代码的讲解并不详细,本文对很多细节做了详细注释。另外,书上的源代码是在Jupyter Notebook上运行的,较为分散,本文将代码集中起来,并加以完善,全部用vscode在python 3.9.18下测试通过&…

网络安全工程师技能手册(附学习路线图)

关键词:网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线 安全是互联网公司的生命,也是每位网民的基本需求。现在越来越多的人对网络安全感兴趣,愿意投奔到网络安全事业之中,这是一个很好的现象。 很多对网络安全感…

蓝牙 - BTSnoop File Format

1, Overview [ 概览 ] BTSnoop 文件格式适用于存储 Bluetooth HCI 通讯数据。它与 RFC 1761 中记录的 snoop 格式非常相似。 The BTSnoop file format is suitable for storing Bluetooth HCI traffic. It closely resembles the snoop format, as documented in RFC 1761. 2, …

flask+python企业产品订单管理系统938re

在设计中采用“自下而上”的思想,在创新型产品提前购模块实现了个人中心、个体管理、发布企业管理、投资企业管理、项目分类管理、产品项目管理、个体投资管理、企业投资管理、个体订单管理、企业订单管理、系统管理等的功能性进行操作。最终,对基本系统…

CRNN介绍:用于识别图中文本的深度学习模型

CRNN:用于识别图中文本的深度学习模型 CRNN介绍:用于识别图中文本的深度学习模型CRNN的结构组成部分工作原理 CRNN结构分析卷积层(Convolutional Layers)递归层(Recurrent Layers)转录层(Transc…

Unity Meta Quest MR 开发(四):使用 Scene API 和 Depth API 实现深度识别和环境遮挡

文章目录 📕教程说明📕Scene API 实现遮挡📕Scene API 实现遮挡的缺点📕Depth API 实现遮挡⭐导入 Depth API⭐修改环境配置⭐添加 EnvironmentDepthOcclusion 预制体⭐给物体替换遮挡 Shader⭐取消现实手部的遮挡效果 此教程相关…