#安全资讯 火绒安全揭露新型远控威胁攻击手段,黑客投放 WPS 带毒版并使用 Cloudflare 隧道进行连接。在完成初步感染后恶意载荷会将整个 C 盘添加到 Microsoft Defender 排除列表里,于是微软不再扫描 C 盘因此也不会产生报警,而使用具有合法签名的 Cloudflare 隧道工具也不会被安全软件报告异常。查看详情:https://ourl.co/113102
火绒威胁情报中心日前监测到利用 WPS 办公软件进行投毒的新型远控威胁攻击手段,这种攻击并没有使用传统的黑客工具,而是利用合法的 WPS 办公软件与 Cloudflare 官方的隧道工具进行隐藏,普通用户很难发现自己的设备已经被后门程序感染。
当设备被感染后黑客投放的后门程序就会持续在后台运行并将整个 C 盘都添加到 Microsoft Defender 排除列表,避免被微软防病毒软件检测到,同时后门程序在后台收集用户的键盘输入记录和窃取剪贴板内容,黑客也可以通过后门程序直接远程控制被感染的设备。
通过下载站等渠道投放篡改的 WPS 安装包:
攻击初始阶段黑客主要利用国内知名的办公软件 WPS,黑客将后门程序与 WPS 安装包重新封装,当用户下载带毒版的 WPS 并运行后,表面上看起来像是正在正常安装 WPS,但实际上后门程序会在后台悄悄执行恶意操作,最终向系统释放恶意载荷。
恶意载荷会首先调用 Windows PowerShell 并执行命令将整个 C 盘都添加到 Microsoft Defender 排除列表,排除后微软就不会再扫描 C 盘检测里面存在的后门程序,因此对于使用 Microsoft Defender 的用户来说很难看到异常提醒。
通过 Cloudflare 隧道进行远程控制:
在攻击的第二阶段黑客会利用 Cloudflare 官方提供的隧道工具 (cloudflared) 作为远程连接隧道,本身该工具是合法的因此具有有效的数字签名,反病毒软件检测到此类工具时也不会报告异常,当然对于大多数普通用户来说也不太可能发现 cloudflared 服务正在运行。
完成隧道部署后黑客会利用后门程序创建系统服务和计划任务以便实现后门程序的开机自启动,因此用户重启设备后后门程序还是可以正常运行,之后后门程序就会在后台静默收集用户信息并将其通过 Cloudflare 隧道回传到黑客的服务器。
火绒安全提醒各位下载软件时务必从开发商官方网站下载,搜索引擎查到的各类下载站都存在安全风险,从这些渠道下载软件很容易遭到攻击,当然用户也可以考虑安装火绒安全等杀毒软件加强系统防御能力,及时解决潜在的安全隐患。