校园网络管理中心
安全预警1
SANQUAN
当前位置: 首页  安全预警1
病毒预报 第八百九十期
发布时间2021-05-21      浏览次数:86

国家计算机病毒应急处理中心通过对互联网的监测,发现了一款使用Go语言编写的新型恶意软件“HabitsRAT”。该软件具有WindowsLinux两个版本,可针对Microsoft Exchange服务器和Linux服务器进行攻击,允许攻击者远程控制受感染主机并执行任意代码。 新型恶意软件HabitsRAT具有WindowsLinux两个版本,两个版本之间共享了大多数代码,其余特定代码被放置于指定文件中。该恶意软件的主要攻击过程如下: (1)进行自安装。HabitsRAT运行后会将自身安装至指定文件夹中,Windows版本的安装位置为“%SystemDrive%WindowsDefenderMsMpEng.exe”Linux版本的安装位置为“$HOME/.config/polkitd/polkitd”,若使用root权限运行则安装于“/root”。 (2)设置持久性。恶意软件完成自安装后会检查是否已设置持久性,若没有则继续完成设置。Linux版本HabitsRAT使用“systemd”单元文件进行设置,并通过执行命令“systemctl status polkitd”检查是否已完成配置。Windows版本HabitsRAT使用计划任务实现持久性设置:首先将计划任务“xml”写入位于“%TEMPkrebsonsecurity.xml”的文件中,然后通过执行shell命令来添加任务。 (3)与命令控制服务器进行通信。HabitsRAT使用Proton Mail提供的开源库生成一对公钥和私钥,并使用公钥对来自服务器的命令进行加密和认证。