安全研究所 | 伪装搜狗输入法的木马分析
发布网友
发布时间:2024-10-10 22:09
共1个回答
热心网友
时间:2024-11-28 09:52
亿格云安全研究团队发现,其安全引擎产生了大量访问仿冒域名的告警,特别是针对办公软件,如搜狗输入法。犯罪分子伪装成正常文件,仿冒常用办公软件官方网站,诱导员工下载“白+黑”办公软件,一旦安装,便通过内置木马程序控制受害主机,为数据窃取、金融诈骗等破坏活动做准备。
亿格云威胁情报安全运营组日常分析发现,大量用户访问仿冒的搜狗输入法域名,并有用户反馈包含多次威胁事件告警。分析了多个如sogousrf.com、sogoushurufa.cn等仿冒的搜狗输入法下载页面,这些页面设计精巧,试图误导用户下载恶意软件。
亿格云安全团队深入分析了用户反馈的钓鱼网站,发现攻击者运用多种策略试图迷惑用户。他们通过搜索引擎优化(SEO)发布虚假广告,创建伪造网站,增加网站可见度和可信度,诱骗用户下载恶意软件。样本技术分析显示,这些样本采用RAR压缩格式伪装,用户下载后会自动解压,显示为搜狗输入法安装界面,但实际上是木马程序。
样本攻击流程中,木马程序在解压后启动,通过批处理脚本作为守护进程运行,与远程恶意服务器进行通信,接收指令并执行。样本通过DNS查询找到恶意域名,并与之建立连接,执行恶意代码。亿格云枢的审计溯源功能帮助企业安全团队追踪木马行为,提供了详细的进程链和文件信息,揭示了木马如何在用户终端中潜伏并执行恶意活动。
亿格云建议企业采用其EDR检测威胁和软件管理功能。EDR通过内存扫描模块实时检测可疑内存块,有效解决免杀内存木马和DLL SideLoading攻击。软件管理模块则便于管理员配置软件库,上传官方软件,确保员工使用安全、正版的官方软件,减少办*全风险。
为了应对上述威胁,亿格云提供了IOC(Indicators of Compromise)信息,包括域名和哈希值,帮助企业识别和应对潜在攻击。通过这些措施,企业可以提高对恶意软件的防御能力,保护敏感数据安全。
