百度360必应搜狗淘宝本站头条
分布式事务框架grpc框架shiro框架java日志框架框架图模板
当前位置:网站首页 > 技术文章 > 正文

FELIXROOT后门恶意软件沉寂后再度出现

ccwgpt 2024-11-05 09:40 64 浏览 0 评论

静默近一年后后,FELIXROOT后门恶意软件出现在一场新的垃圾邮件活动中,在其中使用了包含环境保护工作研讨会信息的武器化诱饵文件。

该后门具有一系列功能,包括能够通过Windows管理工具(WMI)和Windows注册表对目标系统进行指纹识别;能够删除和执行文件及批处理脚本;远程shell执行;信息泄露。

根据FireEye的分析,新活动中的俄语文档利用了两个较旧的Microsoft Office漏洞。首先,附件利用CVE-2017-0199下载第二阶段有效载荷; 然后,下载的文件被CVE-2017-11882武器化,以便在受害者的机器上删除并执行后门二进制文件。

与此同时,CVE-2017-11882是一个远程代码执行漏洞,允许攻击者在当前用户的上下文中运行任意代码。如果当前用户使用管理用户权限登录,攻击者可以完全控制受影响的系统。

这一系列进程完成后,散播病毒组件执行并删除加载程序组件。加载程序组件通过RUNDLL32.EXE执行。后门组件加载到内存中并具有单个导出功能。

当用户打开包含嵌入式漏洞的文档时,CVE-2017-0199允许恶意参与者下载并执行包含PowerShell命令的可视化脚本。这是黑客寻找最初进入Windows机器的折衷路线的最佳目标。而且CVE-2017-11882是一个远程执行代码漏洞,允许攻击者在当前用户的上下文中运行任意代码。如果当前用户使用管理权限登录,则攻击者可以完全控制受影响的系统。

FireEye指出,两种漏洞的补丁都是可用的,但漏洞“是我们目前看到的两种更常用的漏洞,”威胁行动者将越来越多地利用这些漏洞进行攻击,直到他们失败,因此相关组织必须确保自己受到保护。

FELIXROOT在执行时,后门程序休眠10分钟,然后在建立命令和控制(C2)网络通信之前进行初始系统分类。它查询Windows API以获取计算机名称,用户名,卷序列号,Windows版本,处理器架构等信息。

FELIXROOT通过HTTP和HTTPS POST协议与C2通信。通过网络发送的数据使用AES加密,转换为Base64并发送到C2服务器。

有趣的是,嵌入式FELIXROOT后门组件本身使用自定义加密进行加密,该加密使用带有4字节密钥的XOR; 文件被解密并直接加载到内存中而不会触及磁盘。

在目标系统上站稳脚跟之后,FELIXROOT为它的特定任务运行了一组命令,每个命令间隔一分钟。在完成所有这些操作之后,恶意软件将被编码为破坏循环,将终止缓冲区发送回来,然后清除受害者机器中存在的所有痕迹。

这是一种危险的威胁,但迄今为止似乎很少使用。FireEye表示,上一次见到FELIXROOT是在2017年9月,当时它被用作针对乌克兰人的行动的有效载荷。它包含了据称是乌克兰银行文件的附件,其中包含恶意宏。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

相关推荐

一个基于.Net Core遵循Clean Architecture原则开源架构

今天给大家推荐一个遵循CleanArchitecture原则开源架构。项目简介这是基于Asp.netCore6开发的,遵循CleanArchitecture原则,可以高效、快速地构建基于Ra...

AI写代码翻车无数次,我发现只要提前做好这3步,bug立减80%

写十万行全是bug之后终于找到方法了开发"提示词管理助手"新版本那会儿,我差点被bug整崩溃。刚开始两周,全靠AI改代码架构,结果十万行程序漏洞百出。本来以为AI说没问题就稳了,结果...

OneCode低代码平台的事件驱动设计:架构解析与实践

引言:低代码平台的事件驱动范式在现代软件开发中,事件驱动架构(EDA)已成为构建灵活、松耦合系统的核心范式。OneCode低代码平台通过创新性的注解驱动设计,将事件驱动理念深度融入平台架构,实现了业务...

国内大厂AI插件评测:根据UI图生成Vue前端代码

在IDEA中安装大厂的AI插件,打开ruoyi增强项目:yudao-ui-admin-vue31.CodeBuddy插件登录腾讯的CodeBuddy后,大模型选择deepseek-v3,输入提示语:...

AI+低代码技术揭秘(二):核心架构

本文档介绍了为VTJ低代码平台提供支持的基本架构组件,包括Engine编排层、Provider服务系统、数据模型和代码生成管道。有关UI组件库和widget系统的信息,请参阅UI...

GitDiagram用AI把代码库变成可视化架构图

这是一个名为gitdiagram的开源工具,可将GitHub仓库实时转换为交互式架构图,帮助开发者快速理解代码结构。核心功能一键可视化:替换GitHubURL中的"hub...

30天自制操作系统:第六天:代码架构整理与中断处理

1.拆开bootpack.c文件。根据设计模式将对应的功能封装成独立的文件。2.初始化pic:pic(可编程中断控制器):在设计上,cpu单独只能处理一个中断。而pic是将8个中断信号集合成一个中断...

AI写代码越帮越忙?2025年研究揭露惊人真相

近年来,AI工具如雨后春笋般涌现,许多人开始幻想程序员的未来就是“对着AI说几句话”,就能轻松写出完美的代码。然而,2025年的一项最新研究却颠覆了这一期待,揭示了一个令人意外的结果。研究邀请了16位...

一键理解开源项目:两个自动生成GitHub代码架构图与说明书工具

一、GitDiagram可以一键生成github代码仓库的架构图如果想要可视化github开源项目:https://github.com/luler/reflex_ai_fast,也可以直接把域名替换...

5分钟掌握 c# 网络通讯架构及代码示例

以下是C#网络通讯架构的核心要点及代码示例,按协议类型分类整理:一、TCP协议(可靠连接)1.同步通信//服务器端usingSystem.Net.Sockets;usingTcpListene...

从复杂到优雅:用建造者和责任链重塑代码架构

引用设计模式是软件开发中的重要工具,它为解决常见问题提供了标准化的解决方案,提高了代码的可维护性和可扩展性,提升了开发效率,促进了团队协作,提高了软件质量,并帮助开发者更好地适应需求变化。通过学习和应...

低代码开发当道,我还需要学习LangChain这些框架吗?| IT杂谈

专注LLM深度应用,关注我不迷路前两天有位兄弟问了个问题:当然我很能理解这位朋友的担忧:期望效率最大化,时间用在刀刃上,“不要重新发明轮子”嘛。铺天盖地的AI信息轰炸与概念炒作,很容易让人浮躁与迷茫。...

框架设计并不是简单粗暴地写代码,而是要先弄清逻辑

3.框架设计3.框架设计本节我们要开发一个UI框架,底层以白鹭引擎为例。框架设计的第一步并不是直接撸代码,而是先想清楚设计思想,抽象。一个一个的UI窗口是独立的吗?不是的,...

大佬用 Avalonia 框架开发的 C# 代码 IDE

AvalonStudioAvalonStudio是一个开源的跨平台的开发编辑器(IDE),AvalonStudio的目标是成为一个功能齐全,并且可以让开发者快速使用的IDE,提高开发的生产力。A...

轻量级框架Lagent 仅需20行代码即可构建自己的智能代理

站长之家(ChinaZ.com)8月30日消息:Lagent是一个专注于基于LLM模型的代理开发的轻量级框架。它的设计旨在简化和提高这种模型下代理的开发效率。LLM模型是一种强大的工具,可以...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
赣ICP备2024040476号-14