病毒预报 第八百九十期
国家计算机病毒应急处理中心通过对互联网的监测,发现了一款使用Go语言编写的新型恶意软件“HabitsRAT”。该软件具有Windows和Linux两个版本,可针对Microsoft Exchange服务器和Linux服务器进行攻击,允许攻击者远程控制受感染主机并执行任意代码。 新型恶意软件HabitsRAT具有Windows和Linux两个版本,两个版本之间共享了大多数代码,其余特定代码被放置于指定文件中。该恶意软件的主要攻击过程如下: (1)进行自安装。HabitsRAT运行后会将自身安装至指定文件夹中,Windows版本的安装位置为“%SystemDrive%WindowsDefenderMsMpEng.exe”,Linux版本的安装位置为“$HOME/.config/polkitd/polkitd”,若使用root权限运行则安装于“/root”。 (2)设置持久性。恶意软件完成自安装后会检查是否已设置持久性,若没有则继续完成设置。Linux版本HabitsRAT使用“systemd”单元文件进行设置,并通过执行命令“systemctl status polkitd”检查是否已完成配置。Windows版本HabitsRAT使用计划任务实现持久性设置:首先将计划任务“xml”写入位于“%TEMP%krebsonsecurity.xml”的文件中,然后通过执行shell命令来添加任务。 (3)与命令控制服务器进行通信。HabitsRAT使用Proton Mail提供的开源库生成一对公钥和私钥,并使用公钥对来自服务器的命令进行加密和认证。
联系方式:
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心