0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

常规银行木马只单向通信,SocketPlayer感染路径

pIuy_EAQapp 来源:未知 作者:李倩 2018-06-13 15:03 次阅读

6月12日讯 据安全公司 G Data 近期一份报告称,最近发现的远程访问木马 SocketPlayer 正在使用一个专门的程序库 socket.io,操作者可以此与被感染的设备进行交互,而不需要“信标” 消息。

常规银行木马只单向通信

SocketPlayer 后门与大多数使用典型单向通信系统的银行木马、后门及键盘记录程序不同,它通过使用 socket.io 库,可在应用程序之间实现实时的双向通信,根据这个特性,恶意软件处理程序不再需要等待被感染的设备启动通信,攻击者可以自行联系被感染的计算机。

据称,后门 SocketPlayer 一旦在被入侵的机器上安装成功,便能接收操作者的命令并执行各种操作,如嗅探驱动器、屏幕截图、抓取和运行代码等。研究人员还发现,SocketPlayer 还能够选择性采用其他功能,例如,作为键盘记录器,尽管在后门中没有实际的键盘记录功能。目前看似还没有过具体使用情况。

SocketPlayer感染路径

后门 SocketPlayer 的感染路径始于 downloader 的沙盒系统检测,如果通过检测,downloader 会下载一个可执行文件并进行解密,然后使用 Invoke 方法在内存中运行该解密程序。

被调用的程序会为宿主创建一个套接字连接(宿主为http://93.104.208.17:5156/socket.io),同时还要创建一个可实现持久化的注册表键。接下来检查是否存在 Process Handler/ folder,如果没有,就需要创建一个。之后,还需创建一个值为“Handler”的自动启动键。

此外,SocketPlayer 还会下载另一个可下载 SocketPlayer 的可执行文件,解密并在内存中运行。

两个变种

G Data 的安全研究员在研究过程中发现了 SocketPlayer 后门的两个变种:

第一个变种是一个大约100kb的文件,用以充当可从网站上执行任意代码的 downloader;

第二个变种则具备更复杂的功能,包括检测和规避沙箱机制。

据 G Data 的技术报告称,SocketPlayer 的第一个变种的第一个样本已于3月28日首次提交给 VirusTotal(免费的可疑文件分析服务网站),并在3月31日提交了该变种的第二个样本。此外,SocketPlayer 的第二个变种也存在两个版本。

安全研究人员注意到,SocketPlayer 的两个变种之间经历了一系列的变化,包括:

命令和控制(C&C)端口

文件位置

初始流程所发送的信息

在服务器中新添加了命令

在恶意软件中新添加功能

upldex 的存储位置等

恶意软件通过某印度网站分发

报告显示,已知的恶意软件样本通过一个印度网站进行分发,但尚不清楚后门如何传播。但无论该网站是用于感染目的还是只是用于镜像,显然该恶意软件在很长一段时间内都未被注意到。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 通信
    +关注

    关注

    18

    文章

    6032

    浏览量

    135999
  • 木马
    +关注

    关注

    0

    文章

    47

    浏览量

    13336
  • 恶意软件
    +关注

    关注

    0

    文章

    34

    浏览量

    8965

原文标题:警告!双向通信银行后门SocketPlayer可规避沙箱机制

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    QQ密码输入框被盗号木马屏蔽后表现如何?

    一种,则很可能感染了此类盗号木马,请注意不要在此计算机上登录QQ,应尽快使用杀毒软件解决此问题。异常表现1: 使用软键盘输入密码时,密码输入框没有显示*号,看见光标在向后
    发表于 02-05 11:26

    特洛伊木马隐蔽性研究

    、添加、删除文件,修改注册表,控制鼠标和键盘等,而这些权力并不是服务端赋予的,是通过木马程序窃取的。隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段来隐藏木马,这样服务端即使发
    发表于 10-10 14:29

    浅析木马病毒寄生之处

    浅析木马病毒寄生之处2.木马常规性发现方法2.1 反病毒软件的扫描法这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也
    发表于 10-10 14:34

    stm32的TIM4单向计数

    我用的是stm32f103rbt6,想使用他的正交编码器接口,TIM1、TIM2、TIM3都可以自动判断上下计数,可是TIM4单向计数,设置都是一样的啊。难道TIM4跟其他的有什么区别么。
    发表于 04-19 00:06

    PSoC Creator 3.3被病毒感染无法正常运行该怎么办?

    我刚刚升级到PSoC Creator 3.3,我有问题让它正常运行。基本上,我的防病毒软件在每次尝试和运行时都在PSoCyCalto.EXE中检测到木马病毒(或类似的行为),基本上是关闭软件并想对其
    发表于 10-10 12:32

    木马清除工具免费下载

    木马清除工具免费下载
    发表于 01-17 13:21 16次下载

    qq木马专杀工具

    qq木马专杀工具:QQ病毒木马、流氓插件的终结者--QQKav    上网冲浪、聊天最担心的是什么——系统安全、帐号安全。QQKav就是为解决这个问题所写,通过闪电扫描
    发表于 01-17 13:28 31次下载
    qq<b class='flag-5'>木马</b>专杀工具

    什么是特洛伊木马技术

    什么是特洛伊木马技术 特洛伊木马(Trojan horse)源于一场古希腊持续了十年的战争。最终希腊的一位谋士设计制作了一个 巨大无比的木马
    发表于 06-16 23:35 2371次阅读

    木马的工作原理

    木马的工作原理 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。   (1)硬件部分:建立木马连接所必须的硬件
    发表于 06-16 23:38 7233次阅读
    <b class='flag-5'>木马</b>的工作原理

    单向话音通信系统

    单向话音通信系统 一个圈方位驻极式
    发表于 09-18 15:39 901次阅读
    <b class='flag-5'>单向</b>话音<b class='flag-5'>通信</b>系统

    木马的检测与检测方式

    、程序隐藏、进程隐藏、网络通信模式、免杀技术等方面。 对用户来说,图标是识别文件是否是可执行文件的显著特征,最早的隐藏是将木马可执行文件的扩展名隐藏,并将图标设置成图片文件、Word文件、Pdf文件、文件夹等类型的
    发表于 12-11 10:51 0次下载

    两大金融网络犯罪“巨头”背后勾结,Trickbot木马瞄准多国银行

    Flashpoint 公司表示,操控负责人可能监管着一个复杂的欺诈者网络,这些网络欺诈者们又连接了被这两种木马感染的机器。这个操控负责人被称作 botmaster,负责操作僵尸网络的命令和控制,以
    的头像 发表于 06-05 15:38 3971次阅读

    卡巴斯基实验室发现,2019年银行木马攻击的数量将继续增加

    卡巴斯基实验室在声明中进一步列举了一些情况。在卡巴斯基实验室发现的三种恶意软件中,Zbot和Gozi是迄今为止破坏性最大的银行木马,分别占全球恶意软件攻击的26%和20%。第三种银行木马
    的头像 发表于 03-27 15:28 3051次阅读

    基于可逆计数器的时序性总线硬件木马

    RS总线集成威廉希尔官方网站 在航空航天及工业控制领域具有广泛的应用,随着集成威廉希尔官方网站 硬件木马的检测成为研究热点,作为总线硬件木马研究领域的分支,其设计越来越受关注。在常规时序型硬件木马的基础上,针对R
    发表于 03-19 17:19 34次下载
    基于可逆计数器的时序性总线硬件<b class='flag-5'>木马</b>

    介绍一种基于分层聚类方法的木马通信行为检测模型

    一种基于分层聚类方法的木马通信行为检测模型
    的头像 发表于 07-30 11:51 1203次阅读
    介绍一种基于分层聚类方法的<b class='flag-5'>木马</b><b class='flag-5'>通信</b>行为检测模型