近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現一 種名為 Cardinal 的遠控木馬家族。該家族 最早發現于 2017 年，通過一個叫 Carp 的 下載木馬傳播，并在近兩年間不斷更新版 本。在近期針對以色列金融技術行業的攻 擊活動中，發現該木馬最新版本已更新為 Cardinal 1.7.2，該版本使用了各種混淆技 術阻礙對代碼的檢測分析。

      該樣本使用 .Net 編譯，并且嵌入了三 個資源文件。當木馬運行后，首先讀取資 源中的位圖文件，對其像素數據進行解密 處理，從而得到一個 dll 文件，該文件也 使用 .Net 編譯。dll 文件運行后，會從原始 樣本中讀取并解密名為”strings”的資源 文件，該資源包含了配置信息，它指示了 dll 接下來的操作模式。在安裝模式下，dll文件會將 GUID 寫入 %TEMP%\[random]. ini，并創建目錄 %APPDATA%\Microsoft\ Windows\IEConfig， 然 后 創 建 一 個 .lnk 文件并設為自啟動項。該 .lnk 文件執 行 如 下 命 令：C:\Windows\System32\ WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden “%APPDATA%\ Microsoft\Windows\IEConfig\[random]\ sqlreader.exe，其 中 sqlreader.exe 是 原始 樣 本的一個副本。最后，木馬解密最后一個 資源文件，得到一個 .Net 可執行文件， 該文件會被注入到 RegSvcs.exe 或 RegAsm. exe 這兩個合法的系統進程中去。若機器 被該木馬感染，攻擊者可以對受害主機進 行一系列操作，如收集用戶信息、設置反 向代理、執行遠程命令、鍵盤記錄、竊取 瀏覽器 Cookie 等。

      安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。