首页 > 安全 > 正文

新的Solarmarker Variant升级避免检测的能力

最后更新 :2022.04.19

研究人员透露了一种实现新技术的索马克恶意软件的新变种,以避免检测。

来自Palo Alto网络的网络安全研究人员披露了一种实现新功能的新版本,以避免检测。

SOLARMARKER  jupyter,polazert和 黄色cockatoo)是一个无用的.NET大鼠实现后门功能,并允许运营商从Web浏览器中窃取凭据,它通过将自己添加到启动文件夹和修改快捷方式来持久性在受害者的桌面上。

大鼠也用于提供其他恶意有效载荷和NBSP;在受感染的设备上。

下载恶意文档。

研究人员分析的最新版本也适用于Windows Installer包文件(MSI FILES)以及Windows便携式可执行文件(EXE文件)。

Malware部署的初始阶段是大于250MB的EXE文件,使用了如此大的文件大小来避免自动沙箱或AV分析。

此文件删除并执行合法程序的安装程序以避免举起疑似,同时它在新线程中运行PowerShell加载器以加载和执行Solarmarker后门有效载荷。

索尔马克后门通过加密通道与C2服务器通信。

使用HTTP POST HOSE请求和加密数据使用RSA加密使用高级加密标准(AES)对称加密来加密数据。

在其结构方面,INFOSTEAL模块看起来非常类似于后门模块我们早先介绍但具有扩展功能。Solearmarker InfosteAler模块通过读取特定于目标浏览器的文件,从Web浏览器获取登录数据,cookie和Web数据(自动填充)。阅读Paloalto网络发布的分析。Solarmarker使用API函数cryptunprotectData(DPAPI)来解密凭据。
核心模型利用特定的Solearmarkers信息窃取模块从Web浏览器收集自动填充数据,Cookie,密码和信用卡信息。[123SolarMarker与以前的变体不同,最新的一个丢弃文件始终使用合法公司发出的证书签署。新版本使用修改了PowerShell Loader脚本并与前一个执行恶意软件中的PowerShell Loader脚本不同,后常将加载到滴管过程中并不会进入PowerShell过程。
恶意软件投入大量努力防御,它由像签名文件这样的技术组成,巨大的文件,冒充合法的软件装置和混淆的PowerShell脚本,总结了分析。这些更新似乎升级了逃避雷达的逃离能力,并证明索尔马克人继续发展。

作为最佳欧洲网络安全博主奖奖励2022投票您的获奖者

在Dowerdogs最佳个人(非商业)安全博客和Tech Whiz最佳技术博客和其他您选择的Tech Whiz最佳技术博客等方面投票。

提名,请访问:

HTTPS://docs.google.com/forms/d/e/1faipqlsfxxriscimz9qm9iipumqic-iom-npqmosfznjxrbqryjgcow/view窗体

- END -

看更多