存档

文章标签 ‘巴基斯坦’

ByeBye Shell——针对巴基斯坦的网络间谍战

2013年10月14日 1 条评论

 原文:http://community.rapid7.com/community/infosec/blog/2013/08/19/byebye-and-the-targeting-of-pakistan

翻译:封畅

亚洲和南亚就像一个黑客表演的舞台,每天都在邻国之间上演着无数的黑客攻击和网络间谍的斗争。最近我又发现了一个例子,一个从今年年初就开始活跃的黑客行动,针对的目标主要是巴基斯坦。

在这篇文章中,我们会分析这次攻击的实质,攻击中用到的后门的功能(这个后门我给它起名叫ByeBye Shell),以及我和幕后黑客短暂的交手过程。

系统感染

在这个行动中并没有利用什么漏洞——攻击者大概仅仅依赖了社会工程学方法,通过精心伪装的邮件传播后门。

这个恶意软件第一次出现在受害者面前时是一个.scr文件。有时攻击者会使用LRO Unicode字符来将.exe文件伪装成其他更可信的文件。(译者注:RLO是微软的中东Unicode字符中的一个,其作用是强制其后的字符变为从右到左的方式显示,例如本來“setup-txt.exe”这样的文件名,在txt前面插入RLO控制字符之后变成“setup-exe.txt”。)

一旦这个文件被执行,它就会在一个%Temp%的子文件夹中释放并执行一个批处理脚本,内容如下:

@ echo off  
@ start "IEXPLORE.E[......]

阅读全文