初一場突發的疫情��,將辦公族們的辦公場地從公司變為家中����,平日面對面的工作交流也都變成了線上溝通。在此期間,云辦公���、云流程實力出圈,強大的遠程協作體驗受到了廣大用戶的極力追捧。然而“樹大招風”,隨著云辦公的使用熱度日益高漲,黑客組織也皆聞風而來,企圖從中大撈一把。近期����,360安全大腦就借助全網信息��,感知到有著大量用戶的云辦公軟件明道云,官網下載鏈接慘遭劫持���。當用戶點擊官方網站的下載鏈接后,下載的卻是經過偽裝的木馬安裝包�����。經360安全大腦結合用戶被攻擊信息分析��,初步判定這一貍貓換太子的把戲����,源于明道云部分下載服務器失陷。
針對此次“藏毒“事件��,360安全大腦第一時間通知明道云��,目前����,明道云官網和軟件已恢復安全�����,可正常下載使用。此外,360安全大腦已獨家攔截該木馬攻擊,廣大用戶也可盡快下載安裝360安全衛士����,保護個人數據及財產安全�。
供應鏈攻擊藏“毒”軟件源頭�,利用信任輕松獲取大量用戶數據
隨著網絡安全防護技術的完善,黑客團伙想利用傳統攻擊手段非法獲利����,可謂愈發艱難�。而針對供應鏈發起的網絡攻擊����,則通過利用用戶對于正版軟件供應商的信任,讓成功率實現幾何式增長;另外���,只要黑客成功攻陷一家軟件供應商,就可以直接獲取大量用戶數據,尤其當這些用戶是以企業為單位時��,足以讓其“要不不開張�����,開張吃一年”�����。
經在全網海量歷史數據中進行溯源追查后,360安全大腦發現該黑客團伙至少從2019年5月起就已經開始作案,主要采取投放釣魚木馬和直接滲透攻擊��,并竊取了某些公司的數字證書�����,導致后續散播的木馬程序具有了正規公司的數字簽名。
在360安全大腦捕獲到該例供應鏈攻擊后�,發現其木馬具有正常公司的數字簽名����,乍一看還會誤認為其“出身清白”���。而事實是黑客團伙重打包了明道云2.0.3版本的安裝包���,并打上了簽名“西安星空互動軟件開發有限公司”
接著雙擊運行木馬安裝包�����,360安全大腦還發現安裝目錄多出一個同樣非明道云官方簽名的hid.dll模塊(如下圖所示)�,除此之外的明道云文件全部正常�����,排查后發現這是針對明道云主程序MingDaoClould.exe的DLL劫持�����。而簽名處無奈背鍋的“西安星空互動軟件開發有限公司” 所屬一家制作游戲加速器的公司,很可能是黑客團伙盜用的數字證書���,實與明道云毫無關系。
360安全大腦還對DLL文件進行了分析����,發現其功能主要是判斷用戶的.Net版本之后釋放一個BAT腳本文件(如下圖所示)����,這個腳本首先用C#編譯器編譯生成一個木馬下載器�����,然后將下載鏈接以參數的方式傳遞給下載去執行���,最后清理現場�。
從木馬生成的批處理腳本可以看到它聯網獲取了一個名為logo.png的圖片����,然而實際上這是一個可執行程序。
該程序會聯網獲取一個尾部攜帶shellcode的圖片����,然后查找桌面進程(“explorer.exe”)并注入執行shellcode�����,其具體功能就是建立一個連接到黑客團伙的后門通道,等待接收控制指令�。
新型攻擊手法層出不窮�,云辦公安全或將迎來升級挑戰
本著對于木馬病毒的零容忍態度��,360安全大腦不能坐視這種破壞正常軟件信任的事件發生�。根據已有的信息在海量歷史數據中進行溯源檢索顯示�,該團伙至少從2019年5月份起就已經開始通過滲透、釣魚等手法接連作案����。
2019年5月23日����,某企業員工遭到釣魚攻擊��,接收了名為“簡歷.exe”的文件后表現出受害者特征�。
該釣魚文件的圖標偽裝成系統文件夾的樣式���,很容易迷惑普通用戶導致中招�����,實際上它是一個木馬下載器。(如下圖所示)
2019年9月7日,某用戶電腦遭到滲透攻擊���,后續黑客團伙手工投放木馬下載器“formdl.exe”進行后續攻擊,該木馬會在內存解密執行聯網獲取的shellcode進行后續攻擊。相關代碼大致如下圖所示�����。
在后續攻擊中還發現了具備正常簽名的木馬程序���,這說明黑客團伙不是第一次盜用他人公司的正版數字證書了��,除了“西安星空互動軟件開發有限公司”還盜用“Xiamen Tongbu Networks Ltd.”來簽發惡意程序�����,損害數字簽名可信度。
2019年9月16日,某游戲行業人員遭到釣魚攻擊�����,收到了釣魚文件“201909.exe”�����,行為與上文“簡歷.exe”類似�����。
2019年12月16日,某金融行業人員的電腦上,木馬文件隨系統服務開機啟動。
2019年12月18日�����,某房地產相關人員�,遭受釣魚攻擊。
2020年3月27日,明道云某客服的電腦中招����。
2020年4月10日�,明道云某用戶遭遇針對性釣魚攻擊��,用戶啟動了釣魚文件之后����,黑客會查找明道云的安裝目錄并釋放文件“version.dll”到其根目錄下���。
文件“version.dll”會對明道云的主程序形成DLL劫持��,每當用戶啟動明道云的時候就會隨之加載執行���,它的具體功能是和前文的“hid.dll”一樣最終注入桌面留下后門���。
2020年4月27-28日����,明道云官網下載鏈接被劫持�,多例用戶電腦被感染。
與明道云官方溝通后,360安全大腦認為,2020年發生的這三起攻擊并沒有發現直接聯系���。
從追蹤溯源得到的信息不難看出,這個黑客團伙一開始并沒有什么具體的目標,受害者涉及各行各業�����,各個受害者之間明顯都沒什么關系���,但是此次針對明道云的攻擊持續了一個多月����,與之前打一槍換一個地方的風格相比發生了很大的變化�。
對此,360安全大腦在整合后進行了關聯與分析��,發現這與明道云的獨特屬性關系密切�����。
1����、高性能服務器能獲得“高回報“
明道云的服務對象主要是企業用戶����,而企業的高性能服務器對于黑客團伙來說一直都很有吸引力。
2��、藏毒開發源頭實現火速蔓延
其次則是明道云的軟件特點�����,明道云作為一個生產力工具���,普通業務人員就能進行開發��,門檻低,開發數量多��,帶著病毒的新模塊快速形成二次擴散攻擊���。
基于以上兩點��,不難看出黑客團伙認為明道云完全值得他們花費更多的時間和精力去攻擊并挖掘潛在價值��。
由此可見,隨著各類云辦公軟件逐漸成為辦公族們的工作首選���,隨之而來的網絡安全問題也將如同雨后春筍般,油然而生�����。但360安全大腦通過多種技術手段防御和發現最新木馬病毒�,且已率先實現對該類木馬的查殺,為避免此類攻擊的感染態勢進一步擴大�,360安全大腦建議:
1��、及時前往weishi.360.cn,下載安裝360安全衛士��,可有效攔截查殺各類木馬病毒���;
2��、對于安全軟件提示風險的程序��,切勿輕易添加信任或退出殺軟運行;
3����、使用360軟件管家下載軟件��,360軟件管家收錄萬款正版軟件,經過360安全大腦白名單檢測���,下載、安裝�、升級,更安全。
們在 3 月 9 號的文章中提到,知名安全軟件火絨發現用戶在多特軟件站下載軟件后�,多特會通過下載器往用戶電腦植入木馬程序����。
這個木馬程序會篡改用戶瀏覽器主頁���、自動下載流氓軟件并且不斷彈出垃圾廣告�����。
對此問題�,當時我們提供了三種長效的解決辦法�,但應對這位網友的情況就有點遠水救不了近火。
恰好昨天火絨安全專門針對上述問題進行了更新。
我們也就有了還孩子一個干凈電腦的辦法�。
那么廢話不多說��,趕緊下載。
火絨安全跟大家熟悉的 360 安全衛士功能差不多。
是 360 安全衛士和騰訊電腦管家之后��,又一款面向個人用戶的國產安全軟件����。
跟兩位前輩不同的是,火絨安全個人版沒有彈窗和捆綁,功能全面��,并且輕巧易用��,應該說非常適合上網課的孩子使用�����。
彈窗攔截
火絨安全的功能分四大版塊,其中【彈窗攔截】功能在最右側的【安全工具】中。
像大家看到的那樣,火絨很了解國內互聯網環境下「彈窗愛好者」都有誰����。
諸如 QQ����、搜狗輸入法��、WinRAR、Flash Player 之類的���,幾個彈窗大戶都在攔截之列。
一般開啟火絨安全的彈窗功能后����,彈窗會以肉眼不可見速度閃退�,而桌面右下角則會提示有哪些彈窗被攔截�����。
這個開關可以應付大部分國人熟悉的彈窗類型�。
但畢竟道高一尺魔高一丈,一些新彈窗火絨可能沒法及時適配。
為此����,火絨提供了【截圖攔截】功能��。
用戶只需框選新出現的彈窗,火絨就會自動記錄并屏蔽它。
只是按前文網友的描述��,彈出內容不雅的廣告�,可能是電腦里有些類似多特下載器的病毒。
所以只攔截彈窗還不夠,得從源頭解決問題��。
病毒查殺&下載器攔截
火絨本身也具備【病毒查殺】功能�。
對于新安裝或已經安裝的軟件,哪些帶廣告程序,哪些有病毒����,火絨都會實時監控自動查殺����。
這個功能不需要開關�,裝上就自動啟用了���。
另外在昨天的更新中�,火絨增加了一項特別針對下載站病毒的功能
——攔截(病毒)下載器
這個功能在【訪問控制-程序執行控制-下載站下載器】中開啟。
我們嘗試打開從某下載站����,以高速下載方式得到的下載器�。
可以看到火絨已經進行了攔截���。
假如不進行攔截����,而是正常打開此下載器的話,桌面就會得到一些奇怪的東西
對已有的彈窗和病毒進行攔截���、查殺,對潛在的病毒進行阻止��,如此即能夠最大程度上避免病毒��、彈窗廣告困擾���。
不過需要說明的是��,下載器攔截可能由于剛上線,并未說明具體的攔截內容��,這或許會讓新用戶產生疑慮���。
對此大家不必過于擔心���,火絨官方稱他們事先調查了國內幾十家下載站�。
這些下載站使用的下載器大多是相同的,因為國內做下載器的本來也就那么幾家�,所以誤傷可能性不大����。
另外自上次說完多特的問題后�,我們和火絨官方新聞中接收到的�,關于彈窗病毒的反饋都越來越多。
而新功能又隱藏太深,很多用戶還不甚了解,所以希望大家盡可能的點一下在看,幫助小朋友們避免垃圾軟件毒害���。
大家可以直接百度火絨官網,找到個人版下載,也可以通過下方回復獲取正確的安裝文件����。(不過最近火絨也有冒牌貨了�,注意)
后臺回復 577 獲取下載地址
日��,關于“微軟正版Win10在中國免費升級”的話題余溫未退�,如何升級Win10又引起了人們的討論����。據悉,這次微軟Win10獨家安全合作伙 伴360公司,已經推出便捷的升級方法��,用戶只要通過電腦上的360安全衛士,就可以一鍵免費自動升級��,無需下載諸如“Win10升級助手”等升級軟件�。
圖:360 安全衛士內置 Win10升級助手可一鍵完成免費升級
據了解,目前360安全衛士已經內置Win10升級檢測工具�����,可以幫助用戶檢測電腦是否看是否滿足升級Win10的條件��,包括處理器����、內存�、顯 卡、系統盤等項目�。檢測合格的用戶可以高枕無憂����,在微軟正式推出Win10前��,無需任何操作,靜候360安全衛士通知即可;如果有項目沒有達到升級要求, 在提醒的同時,360安全衛士還會給出優化解決方案。
在微軟正式開放Win10升級后,360安全衛士會第一時間提醒用戶��,用戶只需安裝提醒界面中的提示操作�����,就可以通過360安全衛士選擇升級到Win10����,無需再下載其他升級軟件�。
為避免了升級過程中可能存在的風險,讓用戶安全無縫簡單快速的升級,360與微軟展開了技術上的深度合作��。360安全專家表示�����,整個升級過程需要1~2小時��,與一些需要下載器才能實現升級的方式相比,360安全衛士拒絕靜默升級的做法看上去更加安全便捷。
為了讓用戶獲得最佳的升級通道,360在五個方面提供切實的服務����,用戶選擇360安全衛士對系統進行升級的過程中�,可以享受:最大帶寬享受專屬 升級通道;用戶數據均已通過360與微軟進行備份����,保證用戶對信息在升級對過程中不會被遺失;用戶只需要一鍵就可以完成升級;如果遇到使用問題,還可以享 受360安全專家的實時全程指導;如果用戶對升級后不滿意,還可以一鍵還原�。
而從微軟方面的消息透露���,免費正版Win10將在今年夏天正式推出�,而作為微軟Win10唯一安全合作伙伴��,360已經發起了免費送正版Win10的活動,可以幫助全平臺用戶通過360安全衛士一鍵免費升級到正版Win10��。
微軟相關負責人表示�����,此前一直在與360公司研究XP用戶的升級方案��。據悉目前已經攻克技術難題,完美實現XP到Win10的升級�����。而對于中國用戶更加利好的是����,據未經證實的消息稱,盜版用戶也在此次免費升級的范圍內���。
