近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現 一種被稱為 SLUB 的新型后門木馬。該木 馬從 GitHub 獲取要執行的命令，并通過 Slack 消息協作系統進行通信，主要竊取受 害者的個人信息及通訊信息。

      SLUB 后門通過水坑攻擊的方式傳 播，當用戶訪問一個已被入侵的網站時， 會被重定向到一段惡意代碼，該代碼會下 載 一 個 DLL 文 件， 并 通 過 PowerShell 執 行它。文件執行后，首先檢查計算機上是 否有殺毒軟件，如果有則退出執行，否 則下載并運行 SLUB 后門，最后，它還會 利用 CVE-2015-1701 漏洞提升本地權限。 SLUB 后門運行后，首先將自身復制到\ProgramData\update\ 目錄下，并添加為 注冊表自啟動項，然后從 GitHub 上下載 特定的“gist”段，提取行內的 cmd 命令 并執行，執行結果會用嵌入的 tokens 發布 到特定工作區的 Slack 私有信道上。SLUB 后門除了竊取計算機環境、運行的進程、 屏幕截圖、硬盤列表、用戶列表等系統信 息外，還會搜尋 Twitter, Skype, KakaoTalk, BBS 等通訊類軟件的目錄，竊取大量和受 害者相關的個人信息。

      安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。