AgentTesla病毒解析:利用钓鱼邮件窃取终端隐私数据

VIP文章 已于 2022-05-20 17:07:29 修改
阅读量745 收藏 1
点赞数
文章标签: 系统安全 安全 windows macos 服务器
于 2022-05-20 14:27:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46404689/article/details/124878026
版权

2014年以来,AgentTesla病毒持续活跃,逐渐成为全球互联网中的主要病毒威胁之一。根据火绒终端威胁情报系统统计,近年来AgentTesla病毒影响终端数量趋势整体呈快速上升态势。
在这里插入图片描述

AgentTesla病毒主要通过钓鱼邮件进行传播,钓鱼邮件内容多会伪装成装运建议、财务报表或预付款通知单等,邮件附件中包含AgentTesla病毒。当用户被诱导点击运行病毒后,病毒即会窃取用户终端上的隐私数据并上传C&C服务器。
在这里插入图片描述

AgentTesla病毒样本通常使用混淆器,通过数据加密、代码加密、控制流混淆等多种混淆方式藏匿自身病毒特征,对抗安全软件查杀。除此之外,混淆器还会通过反虚拟机和反调试器等手段,对抗逆向分析。

AgentTesla病毒的主要危害是窃取用户终端中的隐私数据,隐私数据包括用户浏览器登录凭证、FTP软件登录凭证、电子邮件登录凭证、键盘记录信息、屏幕截图、用户系统配置信息等。除此之外,还会通过篡改注册表键值的方式,禁用系统安全设置,降低系统安全性。

火绒安全提醒用户不要轻易点击来历不明的邮件附件。“火绒安全软件”可针对Agent Tesla病毒进行查杀。我们也将持续跟踪该病毒的最新变种。
在这里插入图片描述

一、详细分析

传播途径
AgentTesla病毒主要通过钓鱼邮件进行传播,钓鱼邮件的附件中包含AgentTesla病毒,当用户被诱导点击运行病毒后,病毒会将用户终端上多种隐私数据上传C&C服务器。相关内容,如下图所示:
在这里插入图片描述

AgentTesla病毒结构
AgentTesla病毒通过添加外层混淆器来对抗杀毒软件查杀和增加分析难度,通过跟踪分析不同的AgentTesla变种之后,发现不同变种均会使用2-4层外部混淆器来对病毒模块进行保护,最外层混淆器通过解密执行内层混淆器,最内层混淆器加载最终的病毒模块,外层混淆器的解密流程图,如下图所示:

最低0.47元/天 解锁文章
火绒网络科技
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
技术解析:如何利用伪造的“附件”对Gmail用户进行钓鱼攻击?
02-25
根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击。当用户点击了恶意链接之后,攻击者会诱使他们输入自己的Gmail邮箱凭证,然后获取到目标用户的邮箱密码。需要注意的是,它与之前那些网络钓鱼攻击不同,这是一种非常复杂的新型网络钓鱼攻击,即使是一些专业的安全技术人员也有可能会被攻击者欺骗。攻击者会制作一个钓鱼网页,然后利用精心设计的URL地址来欺骗用户访问该页面,然后输入自己的账户凭证,这也是网络钓鱼攻击者惯用的伎俩。可能很多人读到这里,都会觉得钓鱼攻击离自己非常遥远,甚至会认为自己永远都不会遇到网络钓鱼。但是安全研究专家表示,他们
常见邮件病毒的症状和解毒方法
11-11
※黑客攻防指南※===>病毒信息==>常见邮件病毒的症状和解毒方法
钓鱼邮件从入门到放弃
tomyyyyy
12-06 9809
目录钓鱼邮件从入门到放弃一、钓鱼邮件的基本概念1.1 钓鱼邮件的伪造方式1.1.1 购买域名搭建邮箱服务器1.1.2 伪造发件人1.2 三个邮件安全协议1.2.1 SPF1.2.2 DKIM1.2.3 DMARC1.3 钓鱼邮件利用方式1.3.1 链接钓鱼邮件1.3.2 附件钓鱼邮件1.3.3 鱼叉式钓鱼邮件1.3.4 BEC钓鱼邮件1.3.5 二维码钓鱼邮件二、钓鱼环境的搭建2.1 网站克隆...
钓鱼邮件有哪些特征?
小宝儿的学习之路
01-13 2241
面对越来越难以辨别的钓鱼邮件,如何才能快速识别钓鱼邮件......
AgentTesla 掀起攻击全球各地企业的浪潮
最新发布
老司机的后备箱
07-26 267
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
恶意软件Agent Tesla分析:揭密SWEED多年来的恶意活动
systemino的博客
07-26 1713
概述 Cisco Talos团队近期发现了大量正在进行中的恶意软件分发活动,这些活动与我们称之为“SWEED”的威胁行为者相关联,而他们在此前发布了包括Formbook、Lokibot和Agent Tesla等一系列恶意软件。根据我们的研究,SWEED恶意组织自2017年至今以来一直在运营,主要使用窃取工具和远程访问木马针对目标发动攻击。 在发送带有恶意附件的鱼叉式网络钓鱼邮件时,SWEED选...
警惕利用Office漏洞传播商业间谍软件AgentTesla
systemino的博客
05-28 517
背景概述 AgentTesla原本是一款在2014年发布的简单的键盘记录器,近年来其开发团队为其不断增加了许多新功能,并进行出售。AgentTesla现已成为一个商业化的间谍软件,可通过控制端生成满足功能需求的木马程序。 AgentTesla最常见的传播方式是钓鱼邮件,邮件附件中通常会携带恶意文档,通过宏或漏洞利用下载运行恶意程序。近日,深信服安全团队采集到利用CVE-2017-11882传播...
实验整理(一)——钓鱼邮件攻击实验
热门推荐
weixin_57882885的博客
06-23 1万+
一.实验介绍简介 本次课程实验中主要是通过发送qq邮件来进行的一个钓鱼邮件实验。我是通过在kali上部署好的gophish工具向自己的一个QQ邮箱发送一个简单的电子邮件来模拟操作这次实验,并且还可以通过gophish来监测收到钓鱼邮件的收件人的状态。 本次实验中使用的时kali-Linux-2021.2 -vnware-amd64,以及Windows 10 还有用到了QQ邮箱。还有部署在kali下的gophish钓鱼工具。二.gophish的安装1.下载地址:https://gi
如何识别钓鱼邮件
weixin_46137328的博客
05-11 1万+
今天,带大家来防御钓鱼邮件钓鱼邮件,即一种伪造邮件,是指利用伪装的电子邮件,来欺骗收件人点击恶意URL,或诱导收件人下载带恶意程序的可执行文件。对于恶意URL,通常会伪装成和真实网站一...
Windows-Program:Win32/Contebrew.A!ml 病毒
小霸王的博客
11-10 2173
Program:Win32/Contebrew.A!ml 这个病毒怎么解决?
中科大给师生们发了一封钓鱼邮件 结果3000多人上当了
ZL_1618的博客
06-20 189
提交后他们才发现自己真中奖了——原地上了一堂的课。这堂课详细教了大家如何辨别钓鱼邮件。像是中科大邮件地址是 ustc.edu.cn ,不是钓鱼邮件里的 vstc.edu.cn。身份登录页面的域名,也不是中科大的。最骚的是中科大压根没有 “ 邮件管理中心部门 ”。如果仔细核对电话,还会发现,真的中科大电话都是 6360 开头的,而钓鱼邮件上是 “ 36309527 ”。
关于邮件病毒
11-26
邮件病毒
主题为Tesla的Twitter数据集,可以用于社区发现、链接预测、影响力最大化等研究
05-07
主题为Tesla的twitter数据集,里面的用户 微博链接我都已经导出来了,可以自己导入gephi中进行测试研究,可以用于社区发现、链接预测、影响力最大化等研究。
数据集VOC格式岸边垂钓钓鱼fishing目标检测数据集-4330张
12-27
数据集格式:Pascal VOC格式(不包含分割...重要说明:检测岸边钓鱼人员的数据集,当有人拿个鱼竿或者明显在钓鱼则会被标注 特别声明:本数据集不对训练的模型或者权重文件精度作任何保证,数据集只提供准确且合理标注
FairEmail:功能齐全,开源,隐私友好的Android电子邮件应用程序
01-28
功能齐全的开放源代码,面向隐私的Android电子邮件应用程序 FairEmail易于设置,可与几乎所有电子邮件提供商(包括Gmail,Outlook和Yahoo!)一起使用。 如果您重视隐私,FairEmail可能适合您。 FairEmail仅是电子...
钓鱼fishing数据集3+1000IMG+已标注.zip
01-07
检测岸边钓鱼人员的数据集3,1000张项目数据集,已标注数据集,下载后可直接进行训练
病毒源代码
Zengkaichen的博客
10-14 4914
咳咳!作者又发文章啦! 这篇文章我给大家提供几个攻击力强的病毒。(有一个是可以通过邮件传播的蠕虫病毒) 请勿用作非法事件!!!可以整朋友,但造成后果与本人无关。 废话不多说,上代码!! On Error Resume Next Set fs=CreateObject("Scripting.FileSystemObject") Set dir1=fs.GetSpecialFolder(0) Set dir2=fs.GetSpecialFolder(1) Set so=CreateObject("Sc
钓鱼邮件攻击(入门)
chlet的博客
07-18 4880
作为社会工程学的一种攻击方式,当红队正面面临框架新,逻辑漏洞少,信息泄露少等情况打不开局面时,钓鱼邮件攻击不失为一种“有趣”又有效的渗透方式.
请从钓鱼邮件走势的角度,分析此数据
06-14
钓鱼邮件走势的角度,可以对不同时间段内的钓鱼邮件数量及占比进行分析,以便更好地了解钓鱼邮件的发展趋势和变化情况。例如,可以按天、周、月等时间维度进行分析,具体步骤如下: 1. 按照日期对数据进行分组,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值