近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時發(fā)現(xiàn)一個名為 Taurus 的竊密木馬。Taurus 是 2019 年公開售賣的竊密木馬，該木馬主要通過垃圾郵件傳播，目的是竊取用戶敏感信息。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對該竊密木馬的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對該竊密木馬的查殺。

      Taurus 是一款具有反調(diào)試、反虛擬機(jī)和反沙箱檢測的竊密木馬。該竊密木馬通過垃圾郵件傳播，一旦用戶打開附件中的 Word 文檔并啟用宏便會運(yùn)行惡意宏執(zhí)行 PowerShell 連接遠(yuǎn)程服務(wù)器下載并執(zhí)行Taurus 竊密木馬。該木馬執(zhí)行后將自身注入到 dllhost.exe（用于管理 DLL）進(jìn)程中。Taurus 運(yùn)行后會竊取各種憑證包括 FTP 憑證、電子郵件憑證、用戶瀏覽器中存儲的憑證、Cookie、瀏覽器歷史記錄和信用卡信息等。除此之外，該木馬還包括竊取加密貨幣錢包、竊取 Skype 歷史、從應(yīng)用程序中竊取會話文件、收集系統(tǒng)信息，例如系統(tǒng)配置和已安裝軟件列表等。Taurus 竊密木馬將竊密的數(shù)據(jù)進(jìn)行壓縮并上傳至遠(yuǎn)程服務(wù)器。

      安天 CERT 提醒廣大政企客戶，應(yīng)提高網(wǎng)絡(luò)安全意識。在日常工作中及時進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不隨意下載非正版的應(yīng)用軟件，注冊機(jī)等。收發(fā)郵件時應(yīng)確認(rèn)收發(fā)來源是否可靠，不隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不輕易下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時采取應(yīng)對措施，養(yǎng)成及時更新操作系統(tǒng)和軟件應(yīng)用的良好習(xí)慣。確保所有的計算機(jī)在使用遠(yuǎn)程桌面服務(wù)時避免使用弱口令，如果業(yè)務(wù)上無需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉。