Lizar后门

复杂的网络钓鱼操作正在提供一种称为Lizar的新的复杂后门威胁。该活动被认为是由有财务动机的FIN7网络犯罪组织进行的。黑客冒充一个合法组织，该组织提供针对道德意识强的黑客的Windows渗透测试工具。但是，相反，目标受害者感染了Lizar恶意软件，该恶意软件使威胁参与者可以控制受感染计算机，并可以在组织网络内部横向移动。根据BI的调查结果，FIN7黑客已经做出了巨大的努力，以使自己看起来尽可能合法，甚至雇用了对他们被用来促进和传递真正的恶意软件威胁这一事实一无所知的员工。区域网络威胁研究团队。

Lizar后门的功能

Lizar后门的主要功能是从受感染的计算机中渗出数据，并将其自身传播到连接到受害人内部网络的其他设备。该恶意软件显示出正在积极开发且仍在测试中的迹象。即使在此阶段，" Lizar后门"的效能也足以部署在针对多个国家的目标的多次攻击中。大多数受害者来自美国，其中包括教育机构，制药公司和赌博组织。 Lizar Backdoor还利用了总部位于德国的IT公司和来自巴拿马的金融组织。

Lizar后门的结构

从结构上讲，Lizar后门似乎基于FIN7最常用的威胁工具Carbanak RAT。 Lizar由一个加载程序段和许多插件组成，每个插件负责一个不同的任务。可以将受感染计算机上运行的所有组件组合到一个进行远程服务器通信的bot客户端中。由于每个插件都可以单独开发，因此恶意软件的模块化结构使黑客可以根据他们的特殊需求对其进行扩展和建模。到目前为止，已经观察到三种类型的客户端机器人：DLL，EXE和在PowerShell进程的地址空间中执行DLL的PowerShell脚本。用于威胁的远程服务器是使用.NET框架创建的，并在远程Linux主机上运行。

Lizar后门插件可以执行各种有害操作，包括传递和执行其他恶意软件有效负载，例如Mimikatz或Carbanak RAT。此外，威胁参与者可以访问和泄露信息，获取任意屏幕截图，收集凭据，收集浏览器历史记录等等。在将任何数据传递到远程服务器之前，将使用长度在5到15个字节之间的会话密钥对数据进行加密，然后再使用配置中找到的密钥对数据进行加密。如果指定的密钥与服务器上的密钥不匹配，则不会传输任何数据。