近日，安天 CERT 在梳理網(wǎng)絡安全 事件時發(fā)現(xiàn)一個使用 .NET 編寫的名為 InnfiRAT 的 遠 控 木 馬。InnfiRAT 最 早 在 2017 年被發(fā)現(xiàn)，主要通過釣魚郵件進行傳 播，目的是竊取用戶個人信息和加密貨幣 錢包信息。

      InnfiRAT 是一款具有反調(diào)試、反虛 擬機和反沙箱檢測的遠控木馬。該木馬 運行后，遍歷進程判斷是否存在 Process Hacker、Process Explorer 和 Process Monitor 進程，如果存在則退出。遠控木 馬創(chuàng)建計劃任務每天執(zhí)行一次。InnfiRAT木馬包含 11 種控制指令，主要功能包括從 指定 URL 下載文件、收集主機信息、獲取 進程路徑、獲取瀏覽器 Cookie 信息、竊取 比特幣和萊特幣錢包、上傳可能包含敏感 信息的文本文件、獲取進程列表、結(jié)束指 定進程、獲取屏幕截圖、打開 CMD 以及 清除瀏覽器 Cookie 信息等。

      安天 CERT 提醒廣大政企客戶，應提 高網(wǎng)絡安全意識。在日常工作中及時進行 系統(tǒng)更新和漏洞修復，不隨意下載非正版 的應用軟件，注冊機等。收發(fā)郵件時應確 認收發(fā)來源是否可靠，不隨意點擊或者復制郵件中的網(wǎng)址，不輕易下載來源不明的 附件，發(fā)現(xiàn)網(wǎng)絡異常要提高警惕并及時采 取應對措施，養(yǎng)成及時更新操作系統(tǒng)和軟 件應用的良好習慣。確保所有的計算機在 使用遠程桌面服務時避免使用弱口令，如 果業(yè)務上無需使用遠程桌面服務，建議將 其關(guān)閉。

      目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該 遠控木馬的鑒定；安天智甲已經(jīng)實現(xiàn)了對 該遠控木馬的查殺。