一周威胁综述（8 月11 日至 8 月18 日）.PDF

2017 年8 月 18 日，星期五 一周威胁综述（8 月11 日至8 月18 日） 本文概括介绍Talos 在8 月11 日至8 月18 日观察到的最常见威胁。与之前的威胁聚焦一 样，本文不进行深入分析，而是重点从以下方面总结我们观察到的威胁：关键行为特征、感 染指标，以及我们的客户是如何自动得到保护、免受这些威胁的。 在此提醒，本文中介绍的关于以下威胁的信息并不十分详尽，但所述内容截至发稿日期为止 为最新。对以下威胁的检测和防护会根据进一步的威胁或漏洞分析进行更新。如需获取最新 信息，请参阅FireSIGHT 管理中心、Snort.org 或ClamAV.net。 本周最常见的威胁包括： • Doc.Downloader.Agent-6335676-0 Office 宏下载程序 这是一种具有混淆性的Office 宏下载程序，它会尝试下载恶意负载可执行文件。其执 行过程通常为Word - Shell 功能- CMD - PowerShell 下载和执行。 • Doc.Dropper.Agent-6335671-0 Office 宏下载程序 这是一种具有混淆性的Office 宏下载程序，它会尝试下载恶意负载可执行文件。 • Doc.Macro.JunkCode-6335442-0 Office 宏 此恶意Office 宏经过混淆，增加了分析难度。这些宏有时会生成似乎像是指令的空操 作。这些空操作（无用）指令会生成可被检测到的构件。 • Win.Trojan.Expiro-6335658-0 木马 此样本是一种木马。它利用自动调试技术扰乱自动分析和手动调试。此样本需要正确 安装沙盒才能运行。 • Win.Trojan.Ovidiy-6333880-0 木马 Ovidiy （全称为Ovidiy Stealer）是一种目前仍在活跃开发的Windows 木马，用于窃 取凭证。虽然它在性质上属于模块化程序，但是它的主要目标是网络浏览器会话中的 凭证。它有一些命令与控制(C2) 功能，而且会向外传输特定的主机信息。该木马本身 是以.NET 语言编写的，目前发现的多个样本基本都使用各种针对.NET 二进制文件 的打包程序打包，以增加检测难度。 • Win.Trojan.Tinba-6333828-1 木马 Tinba 是一种轻量级银行木马，主要通过注入到网络浏览器的javascript 代码窃取受害 者的敏感信息。Tinba 的源代码已在2014 年泄露到网上，恶意软件开发者可以十分轻 松地利用和修改其功能。 威胁 Doc.Downloader.Agent-6335676-0 感染指标 注册表项 • 不适用 互斥体 • 不适用 IP 地址 • 78[.]47[.]139[.]102 • 193[.]227[.]248[.]241 • 104[.]160[.]185[.]215 域名 • campusassas[.]com • campuslinne[.]com 创建的文件和/或目录 • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temp\qdvjnh.bat • %SystemDrive%\Documents and Settings\Administrator\Local Settings\Temp\plzea.exe 文件散列值 • 7ffabe10f4147ce48fc9ae40cdc7778d08ac7881b779743720e2c4313592445b • c2a3dcd9159058da533455a2742196e4294cfffc000c048c1ea9cc • f756ea3c00d7a3dc3ff1c0224add01e8189375a64fbcd5c97f551d64c80cbdba 防护 检测结果屏幕截图 AMP ThreatGrid Umbrella 屏幕截图 Doc.Dropper.Agent-6335671-0 感染指标 注册表项 • 不