“您的主机已被接管!”新型 JavaScript 远控木马花样来袭

2022-08-30 9,216

恶意文件家族:

Sliemerez

威胁类型:

远控木马

简单描述:

Sliemere是一款使用 JavaScript 编写的多功能病毒,具有加载远程文件、权限维持及远控行为。该病毒最近开始变型传播,最早可追溯到17年。 


恶意文件分析

1.恶意文件描述

近期,深信服深盾终端实验室在运营工作中捕获到一款潜伏已久的使用 JavaScript 编写的多功能病毒,该病毒具有加载远程文件、权限维持及远控行为。该病毒最近开始变型传播,最早可追溯到17年。

2.恶意文件分析

该样本经过多次编码、替换,绕过静态文件检测。



经过替换解码之后的部分内容如下:



这部分代码会释放一个 JS 文件,同时从远程服务器下载一个 exe 文件到 %appdata% 目录并执行,该服务器已经失效,无法获取下载的 exe;释放出来的文件部分内容如下:



收集当前主机环境:

在执行的时候会查看某一注册表项判断脚本时候已经运行过、判断脚本位置是否在环境是否在根目录。



权限维持:

在判断主机环境之后该脚本会把自身写入到注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 下,同时将文件拷贝到用户的启动目录中,主机在开机时会自动执行该脚本。



远控:

在执行完维权之后会进入一个永真的循环中,该循环会持续收集主机的磁盘、主机名、用户名、系统版本、杀软、运行环境等信息并通过 HTTP POST 方法回传到 C2 服务器,并从服务器接受返回指令,通过对应的指令执行不同的操作,每次回传间隔 7000ms:



该脚本支持的指令如下:


解决方案

处置建议

1. 避免打开来历不明的邮件、链接和附件等,如一定要打开未知文件,请先使用杀毒软件进行扫描;

2. 定期使用杀毒软件进行全盘扫描。


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/186442.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:297 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号