Exaramel

Exaramel说明

Exaramel黑客工具是一种威胁,最近在TeleBots黑客组织的一项活动中被发现。在研究威胁时,恶意软件研究人员注意到Exaramel恶意软件与TeleBots小组中的另一个名为Industroyer的黑客工具非常相似。近年来,TeleBots黑客组织非常活跃,其威胁性攻击活动已成为许多头条新闻。它最著名的行动发生在2015年,涉及到他们,造成了断电,这是恶意软件从未实现的。 TeleBots小组也是臭名昭著的Petya Ransomware背后的一个小组,该组织困扰了一段时间的网络。该威胁将锁定目标系统上硬盘驱动器的MBR(主引导记录)。

作为次级有效负载交付

Exaramel恶意软件是后门特洛伊木马,并且被部署为第二阶段恶意软件。 TeleBots小组的另一种黑客工具通过将Exaramel威胁越过计算机上的安全措施来帮助将其传播给主机。第一阶段的有效负载可帮助Exaramel恶意软件破坏系统,还可以确保发现可能与恶意软件调试相关的任何软件或工具。如果测试结果为阳性,则攻击将停止。这将减少恶意软件研究人员接触Exaramel后门并进行剖析的可能性。但是,如果攻击继续,则Exaramel后门的文件将被注入Windows文件夹中。然后,威胁将确保在系统启动时启动名为“ wsmprovav”的新服务。该服务被称为“ Windows Checked AV”,旨在使其看起来像是合法服务,而不是恶意操作的一部分。

能力

Windows注册表项存储Exaramel恶意软件的所有配置,这不是很常见的技术。后门特洛伊木马会被告知有关上载文件的存储路径,代理详细信息,有关C&C(命令与控制)服务器的数据,它使威胁可以执行基本的Web检查。 Exaramel后门木马能够:

  • 执行VBS脚本。
  • 将文件写入本地系统。
  • 执行软件。
  • 将文件上传到前面提到的存储路径。
  • 执行shell命令。

TeleBots黑客小组通常会与CredRaptor和Mimikatz黑客工具一起使用Exaramel后门木马。 Exaramel恶意软件的作者还开发了使用Go编程语言编写的威胁版本,该版本使黑客工具可以将Linux服务器和系统作为目标。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。


不允许使用HTML。