MontysThree工业间谍软件详解
|
2020年夏季发现了针对性较强的工业间谍软件的活动,工具集中包含未知的C++模块。恶意软件作者将工具集命名为“ MT3”,研究人员将工具集命名为“ MontysThree”。 该恶意软件包括一组用于持久控制的C ++模块,使用隐写术从位图中获取数据,解密配置任务(屏幕截图,获取目标指纹,获取文件等)等。该恶意软件使用自定义隐写术,基于XOR的自定义加密,3DES和RSA算法进行解密和通信。 传播方式 初始加载程序模块在RAR自解压文件中,只有PE文件(伪装.pdf或.doc文件), 其中一个(MD5 da49fea229dd2dedab2b909f24fb24ab)名为“Списоктелефоновсотрудников2019.doc”(“员工电话清单”,俄语),另外还有“ Tech task.pdf”和“ invitro-106650152-1.pdf”。 后者是俄罗斯医学实验室的名称。 SFX脚本如下: Path=%TEMP% SavePath Setup=rundll32.exe "invitro-106650152-1.pdf",Open Silent=1 Overwrite=1 UUpdate=U Delete=invitro-106650152-1.pdf 执行后,SFX脚本会调用%TEMP%目录中已解压缩的可执行文件,并将其删除。 技术分析 下表列出了四个模块及其功能, 这些模块共享通用的通信规范。 当处理诸如配置文件和执行日志之类的共享数据时,该恶意软件会初始化线程本地存储(TLS)中的结构。 入口点DllEntryPoint()的工作方式类似于构造函数,模块必须导出一个名为Open()的函数,该函数不带任何参数(但可以解析命令行)并返回一个四字节的错误代码。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
