后门程序“HZ Rat”使用米哈游域名发送数据且原神反作弊驱动,有可疑行为?

科技   2024-08-31 16:09   北京  

点击上方关注 “终端研发部

设为“星标”,和你一起掌握更多数据库知识
《黑神话·悟空》彻底爆火了。当然这肯定是离不开其员工的努力的,那么《黑神话·悟空》公司的员工工资待遇多高,才能研发出这款破了多项世界纪录的游戏呢?

天哪,太可怕了,HZ Rat后门程序和原神反作弊驱动的可疑行为都是严重的安全问题

文中也提到,一旦安装,它会收集大量用户和系统信息,包括微信ID、电子邮件地址、电话号码、雇主详情、硬件规格,甚至存储在Google密码管理器中的密码


添加图片注释,不超过 140 字(可选)


早在前年,原神的反作弊驱动 mhyprot2.sys 域名被勒索软件利用杀死杀毒软件的进程和服务。

HZ RAT的操作相对基础,其主要功能是与指挥和控制(C&C)服务器建立连接以接受后续命令。这涵盖了实施PowerShell指令和脚本、向系统中写入任意文件、将文件传输至服务器以及发送心跳信号等操作。


一旦启动,就会与后门中指定的C2服务器建立联系,运行与Windows版本类似的四个基本命令:

  1. 执行shell命令(例如系统信息、本地IP地址、已安装应用程序列表、来自钉钉、Google密码管理器和微信的数据)

  2. 将文件写入磁盘

  3. 发送文件到C2服务器

  4. 检查受害者的可用性

总结一下HZ RAT的2种传播方式

通过恶意文档传播

HZ RAT可以通过伪装成合法文件的恶意文档进行传播:

1、在文档中嵌入恶意宏,并在打开文档后直接执行;

2、将恶意宏作为外部链接模板的一部分,首先下载恶意宏,然后将其注入到原始恶意文档中。

例如,攻击者可能会创建一个看似正常的PDF或Word文档,当毫无戒心的用户运行压缩包中的文件时,真正的激活工具和恶意软件会同时执行,从而让用户误以为 Windows 激活工具是真的,所以这个文件没有威胁。

其会通过命令和控制 (C&C) 服务器下载其他恶意文件,并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中,当受害者打开这个文档时,它会自动下载并执行HZ RAT。

通过电子邮件附件传播

HZ RAT还可以通过电子邮件附件的形式传播。

邮件附件中携带恶意链接,当用户点击链接后,一个伪装为pdf的js文件将被下载至主机上。一旦用户运行该文件,文件将通过wscript.exe执行,并从远程主机下载xml文件以获取进一步的恶意脚本。

这种含有HZ RAT的附件。一旦收件人打开附件,HZ RAT就会被激活并开始其恶意活动。

这下个人信息泄露的机率又加大了,作为开发人员,我强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施,其他请各位知友来补充吧

计算机专业必读书籍:

2024年必读高质量计算机编程书籍

最后说一句(别白嫖,求关注)


回复 【idea激活】即可获得idea的激活方式

回复 【Java】获取java相关的视频教程和资料

回复 SpringCloud获取SpringCloud相关多的学习资料

回复 【python】获取全套0基础Python知识手册

回复 【2020】获取2020java相关面试题教程

回复 【加群】即可加入终端研发部相关的技术交流群

阅读更多

重磅!OpenAI正研发ChatGPT文本水印技术,其他大模型将何去何从?

2024年必读高质量计算机编程书籍

一条 SQL 引发的事故,同事直接被开除!!

太扎心!排查阿里云 ECS 的 CPU 居然达100%

一款vue编写的功能强大的swagger-ui,有点秀(附开源地址)

首位 AI 科学家问世

相信自己,没有做不到的,只有想不到的

在这里获得的不仅仅是技术!


喜欢就给个“在看

互联网科技小于哥
大家好,我是小于哥呀 1、在这里已经为1000+人,提供专业的求职/技术咨询。 2、每天持续干货输出,同时也做专业面试指AI相关的知识,多次受邀成为圆桌嘉宾; 3、每天持续分享互联网,科技,开发技术,毕设和AI相关的知识,同时也做专业面试指
 最新文章