官网下载链接含“毒”,云办公人士需小心
大家好,今天小编来为大家解答以下的问题,关于官网下载链接含“毒”,云办公人士需小心,这个很多人还不知道,现在让我们一起来看看吧!
近日,360安全大脑利用全网信息检测到,拥有大量用户的云办公软件明道云官网下载链接被劫持。当用户点击官网的下载链接时,会下载一个伪装的木马安装包。经360安全大脑结合用户攻击信息分析,初步认定此次“果子狸换太子”行为是明道云部分下载服务器被攻破所致。
供应链攻击隐藏“毒”软件来源,利用信任轻松获取大量用户数据
随着网络安全防护技术的提高,黑客团体利用传统的攻击手段获取非法利益的难度越来越大。利用用户对正版软件供应商的信任,针对供应链的网络攻击成功率成倍提高;此外,黑客只要成功攻陷一家软件供应商,就可以直接获取大量的用户数据,尤其是当这些用户是企业的时候,就足以让他们“不然不开放,要一年才能开放”。 ”。
360安全大脑对全网海量历史数据进行溯源后发现,该黑客团伙至少从2019年5月起就开始作案,主要采用钓鱼木马和直接渗透攻击的方式,盗取某些公司的号码。证书,导致具有合法公司数字签名的木马随后传播。
360安全大脑捕获这起供应链攻击后,发现该木马具有正常公司的数字签名。乍一看,人们可能会误以为它是“无辜的”。事实是,该黑客团伙重新打包了明道云2.0.3版本的安装包,并签名为“西安星辰互动软件开发有限公司”。
然后双击运行木马安装包。 360安全大脑还发现安装目录中多了一个同样未经明道云官方签名的hid.dll模块(如下图)。另外,明道云所有文件均正常。经排查发现,这是针对MingDaoCloud主程序MingDaoClould.exe的DLL劫持。 “西安星空互动软件开发有限公司”签署诉讼的是一家生产游戏加速器的公司。很可能是黑客组织盗取的数字证书,与明道云无关。
从木马生成的批处理脚本中我们可以看到,它从网上获取了一张名为logo.png的图片,但实际上这是一个可执行程序。
该程序会连接网络获取最后带有shellcode的镜像,然后找到桌面进程(“explorer.exe”)并注入并执行shellcode。其具体功能是建立与黑客组织连接的后门通道,等待接收控制指令。
新的攻击手段层出不穷,云办。。全可能面临升级挑战。
本着对木马病毒零容忍的态度,360安全大脑不能坐视此类破坏正常软件信任的。。发生。根据现有信息,对海量历史数据进行溯源显示,该团伙至少从2019年5月开始,就通过渗透、钓鱼等手段陆续实施犯罪。
2019年5月23日,某公司员工遭受网络钓鱼攻击,在收到名为“resume.exe”的文件后表现出受害者特征。
钓鱼文件的图标伪装成系统文件夹,很容易迷惑普通用户,导致他们上当受骗。其实它是一个木马下载器。 (如下图所示)
2019年9月7日,用户计算机遭受渗透攻击。随后,该黑客团伙手动投放木马下载器“formdl.exe”进行后续攻击。该木马将从互联网获取的shellcode解密并在内存中执行,以进行后续攻击。相关代码大致如下图所示。
在后续的攻击中也发现了签名正常的木马,这说明这并不是该黑客团伙第一次盗取其他公司的正版数字证书。除了“西安星空互动软件开发有限公司”之外,他们还窃取了“厦门通步网络有限公司”。对恶意程序进行签名并损害数字签名的可信度。
2019年9月16日,游戏行业人士遭受钓鱼攻击,收到钓鱼文件“201909.exe”,其行为与上述“resume.exe”类似。
2019年12月16日,一名金融行业员工的电脑在开启系统服务时启动了木马文件。
2019年12月18日,一名房地产相关人员遭遇网络钓鱼攻击。
2020年3月27日,明道云一台客服电脑被感染。
2020年4月10日,明道云用户遭遇定向钓鱼攻击。用户启动钓鱼文件后,黑客会搜索明道云的安装目录,并将“version.dll”文件释放到其根目录。
“version.dll”文件会形成对明道云主程序的DLL劫持。每当用户启动明道云时,它就会被加载并执行。它的具体作用就是和之前的“hid.dll”一样,最终注入到桌面持久化中。从后门退出。
2020年4月27-28日,明道云官网下载链接被劫持,多名用户电脑被感染。
360安全大脑与明道云官方沟通后认为,2020年发生的三起攻击。。之间没有直接联系。
从溯源得到的信息不难看出,这个黑客组织一开始并没有什么特定的目标。受害者涉及各行各业,受害者之间显然不存在任何关系。不过,这次对明道云的攻击,却持续了一段时间。这几个月来,与之前拍一拍、换地方的风格相比,有了很大的改变。
对此,360安全大脑整合后进行关联分析,发现这与明道云的独特属性密切相关。
1、高性能服务器可以获得“高回报”
明道云的服务对象主要是企业用户,企业的高性能服务器一直对黑客群体具有吸引力。
2、藏药开发源头迅速蔓延
其次,还有明道云的软件特色。明道云作为生产力工具,普通业务人员即可开发。门槛低,开发数量大。带有病毒的新模块可以快速形成二次扩散攻击。
综合以上两点,不难看出,黑客组织认为明道云完全值得花费更多的时间和精力来攻击和挖掘潜在价值。
可见,随着各类云办公软件逐渐成为上班族的首选,网络安全问题也将如雨后春笋般涌现。但360安全大脑采用多种技术手段防御和发现最新的木马病毒,并已率先检测并查杀该类木马。为避免此类攻击感染情况进一步扩大,360安全大脑建议:
1、及时前往weishi.360.cn,下载安装360安全卫士,可以有效拦截查杀各种木马病毒;
2、对于安全软件提示存在风险的程序,不要轻易添加信任或退出杀毒程序;
用户评论
天呐!真是要命!还好我之前从来不乱下载软件,就怕出这种事情!现在越来越多的东西都隐藏着风险,让人不敢轻信。云办公确实很方便,但安全绝对不能忽视!
有11位网友表示赞同!
这个标题简直要惊悚了!官网下载直接藏毒,这也太可怕了吧,以后我可得特别小心哪些网站的链接了!
有6位网友表示赞同!
感觉越来越危险了!早听说过黑客通过软件传播病毒,没想到会这么直接。云办。。全确实是一个大问题,各位需要注意啊!
有11位网友表示赞同!
我是每天都依赖云办公的,这下真是焦虑得厉害了。看来以后Gotta双重验证呀,还得关注安全资讯,真是麻烦又费时啊。
有15位网友表示赞同!
虽然我下载软件之前都会先去查相关信息,但看到这个标题还是感觉浑身发寒!要提醒一下大家,选择正规来源的软件很重要!
有9位网友表示赞同!
这个事情真的很可耻!希望官方能够尽快回应此事,并且对受害者进行赔偿。云办公的安全问题真的需要引起足够的重视!
有9位网友表示赞同!
现在下载个程序都不保险啊,以前还以为官网下载是最安全的途径呢!真是眼界大开,以后得好好学习一下安全知识。
有11位网友表示赞同!
我感觉这不是什么黑客攻击,很可能是公司内部人员故意操作的。不然怎么会有这么大的漏洞?
有9位网友表示赞同!
我觉得这只是一起偶然。。,不要过度悲观。云办公发展非常迅速,未来肯定会有更完善的安全保障措施出现!
有7位网友表示赞同!
我倒觉得这个事情也能反映出现在科技行业竞争越来越激烈了。不惜一切代价打击竞争对手真是越来越常见了!
有20位网友表示赞同!
虽然说官网是正规来源,但也不能全信啊!下载之前最好先看看评论区,再做决定。
有9位网友表示赞同!
这篇文章写的有点耸动,感觉像是一些营销号为了吸引眼球故意渲染的。要相信科学的态度,不要轻易被恐吓!
有13位网友表示赞同!
官网下载藏毒?真的假的?我平时就喜欢用云办公软件效率高,现在这标题让我有些心里不安! 应该仔细了解一下这情况到底如何。
有14位网友表示赞同!
哎,互联网时代的安全问题越来越复杂了,真不容易!大家一定要提高警惕,做好防范措施,才能更好地使用网络!
有15位网友表示赞同!
这个事情让人警醒啊!看来以后下载软件前得多加考察,不能只看官网就放松警惕!
有15位网友表示赞同!
希望官方能够给出一个合理的解释和解决方案!受害者权益应该得到保障!
有8位网友表示赞同!
云办公真的太方便了,但是这种事情确实让我担心,安全始终是第一位的么?现在看来以后得多事预谋了一点!
有8位网友表示赞同!
以前只觉得官网下载就是安全的,现在看来还是有所不足啊。希望能够改进现在的安全措施,让用户能够安心的使用吧!
有11位网友表示赞同!