新型PowerShell后门程序横空出世:可任意操控受感染设备!

近日,Canthink网络安全攻防研究所检测到的PowerShell的后门可以窃取信息,并在受感染的机器上执行各种命令。

据悉,这款被称为PRB-Backdoor的恶意软件已通过包含恶意宏(malicious macros)的Word文档进行分发,该文件被命名为“Egyptairplus.doc”,它最初被认为是会传播与MuddyWater针对中东地区活动相关的恶意软件。

在对此项包含恶意宏的文档进行分析后发现了一个名为Worker() 的函数,用于调用嵌入在文档中的多个其他函数,以最终运行PowerShell命令。该命令将在文档中查找大量Base64编码的嵌入式数据并对其进行解码,这将导致一个模糊的PowerShell脚本。

Canthink安全研究员指出:“使用Write-Output替代iex并运行此代码将导致第二层PowerShell脚本出现在网志(blog)前面,且它由于使用了字符替换功能而与MuddyWater代码具有相似性。”

用Write-Output替换所有的iex将显示更多可读的代码,其中仍然包含编码的数据块。对此代码进一步分析,发现一个Invoker.ps1脚本,用于解密主要的后门代码。正确格式化后门包含超过2000行代码。由于主要功能被命名为PRB,所以研究人员决定调用恶意软件PRB-Backdoor。

尽管在沙箱中执行样本并未揭示网络通信,但代码确实包含一个变量,该变量似乎指向后门与之通信以检索命令的主域,即outl00k [.] net。Canthink研究员发现用于注册域名的电子邮件地址也用于域名LinLedin [.] net,此外还发现了这两个域名正在解决的IP,但没有发现任何一个的附加信息。

研究人员通过不同浏览器(包括Chrome、Internet Explorer和Firefox等)研究PRB-Backdoor代码时,发现了与C&C服务器初始通信和注册相关的功能,除了可以从后门窃取密码、将文件写入磁盘、读取文件、自我更新外,还可实现启动shell、记录按键、截屏、获取系统信息等功能。

Canthink研究员也表示,PRB-Backdoor似乎是一个非常有趣的恶意软件,其旨在运行用户设备,并实现收集信息、窃取密码、记录按键和许多其他功能,目前暂时找不到任何公开来源的后门或其代码。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180515A0SYF700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券