深信服安全团队揭示了一种利用网络钓鱼和Adobe CEF Helper程序的木马攻击手法。攻击者通过伪造的Hex.dll引导执行恶意代码,创建后门并传播。建议用户加强主机安全,如限制文件共享,使用强密码,避免打开不明来源附件,并定期修复系统漏洞。深信服提供了安全解决方案,包括安全产品升级、免费查杀工具及托管式安全运营服务。
背景概述
近日,深信服终端安全研究团队中捕获到了一个木马程序,攻击者通过网络钓鱼的手段诱导受害者点击运行邮件中附带的木马程序,结合正常的Adobe CEF Helper程序进行攻击;在局域网内通过共享目录进行传播,并在用户主机上留下后门程序进行窃密或者其他恶意行为。
详细分析
从受害主机上的情况来看,病毒主要有三个部分构成:
木马的启动程序Explorer.exe其实为正常的Adobe CEF Helper程序,是Adobe Creative Cloud程序的组件之一:
该组织应该是发现了这个Helper程序会在执行过程中去以函数名的方式获取到Hex.dll中CEFProcessForkHandlerEx的函数地址并执行,所以就伪造了一个假的Hex.dll并导出同名函数CEFProcessForkHandlerEx进行劫持。
这个伪造的CEFProcessForkHandlerEx函数首先会搜索当前进程对应可执行文件目录下的AdobeUpdates.
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
