资讯专栏INFORMATION COLUMN

恶意软件不断创新!新版本Jupyter恶意软件绕过检测 利用MSI安装程序

Michael_Ding / 1414人阅读

摘要:恶意软件于月日发现的新交付链,这强调该恶意软件不仅继续保持活跃,而且还展示了威胁行为者如何继续发展其攻击以提高效率和规避检测。攻击从部署超过的安装有效载荷开始,允许他们绕过防毒软件引擎检测,并使用第三方应用程序打包向导称为高级安装程序。

网络安全研究人员绘制了Jupyter的演变图,Jupyter 是一个 .NET 信息窃取程序,以挑选医疗保健和教育行业而闻名,这使其在击败大多数端点安全扫描解决方案方面表现出色。

恶意软件.png

Morphisec于9月8日发现的新交付链,这强调该恶意软件不仅继续保持活跃,而且还展示了“威胁行为者如何继续发展其攻击以提高效率和规避检测”。这家以色列公司表示,目前正在调查袭击的规模和范围。

Jupyter(又名Solarmarker)于2020年11月首次记录,可能起源于俄罗斯,主要针对 Chromium、Firefox 和Chrome浏览器数据,并具有允许完整后门功能的附加功能,包括虹吸信息并将详细信息上传到远程的功能服务器并下载并执行进一步的有效载荷。Morphisec收集的证据表明,从2020年5月开始,多个版本的Jupyter开始出现。

2021年8月,思科Talos将此次入侵归咎于“相当老练的行为者,主要专注于凭据和残留信息盗窃”。

今年2月初,网络安全公司 CrowdStrike将恶意软件描述为打包了一个多阶段、高度混淆的PowerShell加载程序,导致执行 .NET编译后门。

虽然以前的攻击使用了Docx2Rtf和Expert PDF等知名软件的合法二进制文件,但最新的攻击链使用了另一个名为Nitro Pro的PDF应用程序。攻击从部署超过100MB的MSI安装有效载荷开始,允许他们绕过防毒软件引擎检测,并使用第三方应用程序打包向导称为高级安装程序。

运行MSI有效载荷导致PowerShell加载程序嵌入到一个合法的Nitro Pro 13二进制文件中,其中两个变体已被观察到使用了属于波兰实际企业的有效证书签名,这表明可能是证书模拟或盗窃。在最后阶段,加载器解码并运行内存中的Jupyter . net模块。

Morphisec研究员Nadav Lorber 说:“从我们在2020年首次发现 Jupyter 信息窃取器/后门开始,它的演变证明了威胁行为者总是在创新的说法是正确的。” “VirusTotal对这种攻击的检测仍然很低或没有,这进一步表明威胁行为者逃避基于检测的解决方案的设施。”

通过以上结论发现,恶意软件渗入方式日益高明,它们可以轻易躲过传统网络安全产品的检测和防御,进而感染并攻击受害者的网络系统。因此,为了确保网络安全,提高软件自身防御攻击的能力是传统防护手段的重要补充!在软件开发过程中,使用静态代码检测技术不断查找并修复安全缺陷和漏洞,提高软件自身安全性,可以筑牢网络安全防御根基,提高网络抵御恶意软件攻击的能力。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

thehackernews.com/2021/09/a-n…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/121557.html

相关文章

  • 反病毒时代已终结?

    摘要:或者,如果反病毒系统还没有没落,那也正走在即将终结的路上。但仅仅如此还不够,纯粹的技术对抗在未来势必难上加难,反病毒技术及常识的普及对于厂商安全人员才是以柔克刚之策。 无意中看到英国的安全爱好者Graham Sutherland的一篇旧文《The anti-virus age is over》,尽管是一年前所写,但仍旧可以以呵呵的态度一览作者之AV观: 就目前我的关注,我认为反...

    Lemon_95 评论0 收藏0
  • 未修补的高危漏洞影响Apple mac OS计算机 可使恶意文件绕过检查

    摘要:尽管新版已经阻止了前缀,但只要将协议更改为或就可以利用该漏洞有效地绕过检查。目前已将此问题告知苹果公司。目前,该漏洞尚未修补。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body h1,...

    番茄西红柿 评论0 收藏2637
  • Microsoft WPBT漏洞可让黑客在Windows设备上安装rootkit

    摘要:研究人员表示研究团队发现了微软功能的一个弱点,该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。缓解措施包括使用政策在告知微软这个漏洞后,微软建议使用防卫应用程序控制策略,允许控制哪些二进制文件可以在设备上运行。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;o...

    xialong 评论0 收藏0
  • 金融科技行业网络安全威胁概览

    摘要:在众多端点威胁中,针对金融部门的最常见的持续攻击是网络钓鱼和勒索软件攻击。通过研究,影响金融行业的勒索软件攻击和数据泄露的趋势表明,勒索软件组是最活跃的。针对金融机构的累计攻击次数达起,涉及个勒索软件组织。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;ove...

    xietao3 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<