近日，有用户反馈其设备在登录社交软件后，自动向联系人列表群组发送了信息，且信息疑似为钓鱼链接，并不清楚是由什么导致的，换言之就是设备被莫名控制。

　　接到反馈后，奇安信病毒响应中心迅速对其进行了分析，经过对用户更好的提供的钓鱼链接负载的文件做多元化的分析，发现其最终会在设备上注入隐蔽的木马程序，达到控制设备的目的。在已经控制了受害者设备的前提下，还进行了社交软件工具操作传播钓鱼链接，其目的昭然若揭，基于对整个事件的分析，我们最终定性此次事件为后攻击阶段升级控制的攻击活动。

　　作为后攻击阶段投递的载荷，主要是通过受害者社交软件进行感染扩散，采用钓鱼链接的方式来进行负载，同时，也发现有通过浏览器下载的痕迹，其也有一定可能会通过钓鱼网站的方式来进行传播。操控受害者社交软件传播截图如下：

　　在整个攻击链中，有很多的攻击载荷，部分进行了序列化，也有一些是解密后直接内存加载执行，主要攻击载荷如下表：

　　此次攻击活动的最大的目的在于感染更多设备和增强已受控设备远控功能。利用白利用、DLL侧加载、加密和多阶段检测和动态加载恶意载荷，具有很复杂的攻击链，获得了较好的免杀性。主要攻击流程如下：

　　首先攻击者在被控设备监控到受害者社交软件已安装运行时，会操作受害者社交软件向其好友群组发送社工信息，引导受害者及群组成员访问钓鱼链接，采用“@所有人”的方式提醒群组成员。钓鱼链接点击后会自动下载负载程序。

　　钓鱼链接下载程序为MSI安装程序文件，其主要在应用安装目录释放3个文件。

　　其次，在将adme.txt解密之后，申请内存并开启新的线程实现DLL注入。

　　对内存注入的shellcode做多元化的分析，发现其是由一个打包DLL的shellcode PE加载器开源项目sRDI打包生成。

　　提取的DLL模块名称是“上线模块.dll”，它是winos payload的默认名称。

　　上面已经确定了本次攻击内存中加载的是winos远控，而它常常使用的技术则是将核心远控数据藏在注册表中，以躲避安全软件的检测和查杀，之后读取注册表数据，再利用DLL侧加载技术将其注入到系统进程执行。

　　（三）BackDoor Winos是用 C++ 编写的针对 Windows 平台的框架，其功能包括文件管理、使用多协议的分布式拒绝服务 (DDoS)、全盘搜索、网络摄像头控制和屏幕捕获。此外，它还支持许多功能，包括进程注入和麦克风录音、系统和服务管理、远程 shell 访问和键盘记录功能，逐渐增强了其控制和监控受感染系统的能力。这也是攻击者在侵入受害者设备后执行后攻击阶段的原因。

　　其攻击时通过“上线模块.dll”将“登录模块.dll”写入注册表又提取之后，通过远程线程注入到系统进程svchost.exe中，而公开情报中对于其功能的分析也比较多，这里就不再赘述。而且在分析调试时能够正常的看到其C&C服务器IP。

　　此次攻击定性为后攻击阶段的升级控制活动，在感染受害者设备后，不仅借助受害者社交软件工具进行传播，同时为提升控制功能和方便控制管理进行的又一次的攻击活动。从受害者反馈的信息来看，其前攻击阶段也具有极强的隐蔽性，以至于受害者在感染后依然无法发现从何种渠道和程序被感染。

　　此类攻击的出现引发了网络安全领域的深切关注，因其严重性远远超出了传统的网络威胁。其传播方式不仅仅可以迅速传播和潜伏在系统中，还具备高度隐蔽性和复杂的功能。在造成受害者财产和信息损失的同时，也对其社会生活造成了极大的困扰。普通用户首先要做的是增强网络安全意识、实施有效的信息安全策略以及定期更新保护措施，这些都是减少此类威胁影响的关键步骤。

　　奇安信病毒响应中心温馨提醒用户，提高安全意识，谨防钓鱼攻击，切勿打开社会化媒体分享和邮件接收的来历不明的链接，仔细辨别发件人身份，不随意下载和点击执行未知来源的附件，不以猎奇心理点击运行未知文件，不安装非正规途径来源的应用程序，如需使用相关软件，请到官方网站和正规应用商店下载。为越来越好的防护自身免受感染侵害，可选择可靠的安全软件，同时保持系统和程序的更新。

　　目前，基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC（态势感知与安全运营平台）、奇安信监管类态势感知等，都已经支持对此类攻击的精确检测。

　　中证金融：“转融通数据全是虚拟、融券卖出的量实际上没有上限”的相关说法属于造谣

　　历史罕见，集体暴跌+熔断！亚太恐慌的背后是什么？A股大消费一枝独秀，超跌+稳健增长+低估值龙头揭晓

　　2024年《财富》世界500强排行榜揭晓 沃尔玛连续第十一年成为全世界最大公司

　　中证金融：“转融通数据全是虚拟、融券卖出的量实际上没有上限”的相关说法属于造谣

　　已有2家主力机构披露2024-06-30报告期持股数据，持仓量总计38.29万股，占流通A股0.08%

　　近期的平均成本为23.50元。空头行情中，目前正处于反弹阶段，投资的人可适当关注。该股资金方面呈流出状态，投资者请谨慎投资。该公司运营状况尚可，多数机构觉得该股长期投资价值较高，投资的人可加强关注。

　　限售解禁：解禁1.496亿股(预计值)，占总股本比例21.83%，股份类型：首发原股东限售股份。(本次数据根据公告推理而来，真实的情况以上市公司公告为准)

　　投资者关系关于同花顺软件下载法律声明运营许可联系我们友情链接招聘英才使用者真实的体验计划

　　不良信息举报电话举报邮箱：增值电信业务经营许可证：B2-20090237