点击上方关注 “终端研发部”
设为“星标”,和你一起掌握更多数据库知识
天哪,太可怕了,HZ Rat后门程序和原神反作弊驱动的可疑行为都是严重的安全问题
文中也提到,一旦安装,它会收集大量用户和系统信息,包括微信ID、电子邮件地址、电话号码、雇主详情、硬件规格,甚至存储在Google密码管理器中的密码
早在前年,原神的反作弊驱动 mhyprot2.sys 域名被勒索软件利用杀死杀毒软件的进程和服务。
HZ RAT的操作相对基础,其主要功能是与指挥和控制(C&C)服务器建立连接以接受后续命令。这涵盖了实施PowerShell指令和脚本、向系统中写入任意文件、将文件传输至服务器以及发送心跳信号等操作。
一旦启动,就会与后门中指定的C2服务器建立联系,运行与Windows版本类似的四个基本命令:
执行shell命令(例如系统信息、本地IP地址、已安装应用程序列表、来自钉钉、Google密码管理器和微信的数据)
将文件写入磁盘
发送文件到C2服务器
检查受害者的可用性
总结一下HZ RAT的2种传播方式
通过恶意文档传播:
HZ RAT可以通过伪装成合法文件的恶意文档进行传播:
1、在文档中嵌入恶意宏,并在打开文档后直接执行;
2、将恶意宏作为外部链接模板的一部分,首先下载恶意宏,然后将其注入到原始恶意文档中。
例如,攻击者可能会创建一个看似正常的PDF或Word文档,当毫无戒心的用户运行压缩包中的文件时,真正的激活工具和恶意软件会同时执行,从而让用户误以为 Windows 激活工具是真的,所以这个文件没有威胁。
其会通过命令和控制 (C&C) 服务器下载其他恶意文件,并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中,当受害者打开这个文档时,它会自动下载并执行HZ RAT。
通过电子邮件附件传播
HZ RAT还可以通过电子邮件附件的形式传播。
邮件附件中携带恶意链接,当用户点击链接后,一个伪装为pdf的js文件将被下载至主机上。一旦用户运行该文件,文件将通过wscript.exe执行,并从远程主机下载xml文件以获取进一步的恶意脚本。
这种含有HZ RAT的附件。一旦收件人打开附件,HZ RAT就会被激活并开始其恶意活动。
这下个人信息泄露的机率又加大了,作为开发人员,我强烈建议数据库等服务放置在外网无法访问的位置,若必须放在公网,务必实施严格的访问控制措施,其他请各位知友来补充吧
计算机专业必读书籍:
最后说一句(别白嫖,求关注)
回复 【idea激活】即可获得idea的激活方式
回复 【Java】获取java相关的视频教程和资料
回复 【SpringCloud】获取SpringCloud相关多的学习资料
回复 【python】获取全套0基础Python知识手册
回复 【2020】获取2020java相关面试题教程
回复 【加群】即可加入终端研发部相关的技术交流群
阅读更多
重磅!OpenAI正研发ChatGPT文本水印技术,其他大模型将何去何从?
相信自己,没有做不到的,只有想不到的
在这里获得的不仅仅是技术!
喜欢就给个“在看”
