近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)一個(gè)具有后門(mén)功能的 Neurevt 竊密木馬。Neurevt 木 馬 又 名 BetaBot， 從 2013 年 3 月 開(kāi)始在地下市場(chǎng)進(jìn)行售賣(mài)，價(jià)格大約在 120 美元到 500 美元不等。此版本的 Neurevt 竊密木馬在 2021 年 6 月開(kāi)始活躍，主要目標(biāo)是竊取墨西哥金融機(jī)構(gòu)用戶的個(gè)人信息和其銀行網(wǎng)站憑據(jù)等。

        當(dāng)樣本執(zhí)行后，會(huì)創(chuàng)建多個(gè)惡意文件，如以 .vbs、.bat 和 .exe 為后綴的惡意文件等。樣本首先調(diào)用 wscript.exe 進(jìn)程執(zhí)行名為“435246.vbs”文件，435246.vbs 文件的功能為使用 cmd.exe 進(jìn) 程 執(zhí) 行 名 為“183.bat” 文 件。183.bat文件主要有兩個(gè)功能：一、將創(chuàng)建好的文件“x0329847998”重命名為受密碼保護(hù)的 rar 文件“43939237.rar”， 執(zhí) 行 unpakedree.exe 并 使用密碼“67dah9fasdd8kja8ds9h9sad”解壓 rar 文件；二、使用 wscript.exe 進(jìn)程執(zhí)行解壓后提取出的文件“3980392cv.vbs”。3980392cv.vbs 文件的功能是使用 cmd.exe 進(jìn)程執(zhí)行名為“48551.bat”文件。48551.bat 文件主要有兩個(gè)功能：一、釋放第二階段有效載荷“xc829374091FD.exe”；二、將之前釋放的所有文件進(jìn)行刪除。xc829374091FD.exe 進(jìn)程首先會(huì)創(chuàng)建自身一個(gè)子進(jìn)程，子進(jìn)程創(chuàng)建 explorer.exe 進(jìn)程并將自身重命名后注入到創(chuàng)建的 explorer.exe 進(jìn)程中。第二階段載荷的主要功能包括鍵盤(pán)記錄、剪貼板記錄、截取屏幕截圖以及竊取計(jì)算機(jī)初始信息等。該竊密木馬使用 HTTP POST 的方式將搜集的數(shù)據(jù)上傳到 C2 服務(wù)器。

        安天 CERT 提醒廣大政企客戶，應(yīng)提高網(wǎng)絡(luò)安全意識(shí)。在日常工作中及時(shí)進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不隨意下載非正版的應(yīng)用軟件、注冊(cè)機(jī)等。收發(fā)郵件時(shí)應(yīng)確認(rèn)收發(fā)來(lái)源是否可靠，不隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不輕易下載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的良好習(xí)慣。確保所有的計(jì)算機(jī)在使用遠(yuǎn)程桌面服務(wù)時(shí)避免使用弱口令，如果業(yè)務(wù)上無(wú)需使用遠(yuǎn)程桌面服務(wù)，建議將其關(guān)閉。目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該竊密木馬的鑒定；安天智甲已經(jīng)實(shí)現(xiàn)了對(duì)該竊密木馬的查殺。