truecrypt怎么用
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
警惕,WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序 latiaojun2016-10-22共385888人围观 ,发现 28 个不明物体 系统安全
1.png
WinRAR解压缩软件在中国有非常大的保有量,中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗,某些来源的WinRAR和TrueCrypt安装程序会在我们的电脑中植入恶意程序,窃取电脑硬盘信息和隐私人信息。
矛盾之争
WinRAR采用AES-256位加密技术对文件进行加密,TrueCrypt则是一个全盘加密工具。两者都对文件提供强大、可靠的加密。照理说,不应该出现什么问题的啊。但问题确实发生了。
据卡巴斯基实验室的报告称(报告见文末链接),他们在WinRAR和TrueCrypt的安装程序中发现了一个来自StrongPit团队的新恶意程序,这个程序会在用户安装后启动。
对于StrongPit,相信大家应该是有耳闻,已经在黑客行业耕耘多年,而最近,他们又迷上了用户的加密工具。这个团队主要是采用Watering-Hole、感染安装程序、以及恶意程序等对用户的加密软件进行攻击,也算是一个老油条了。该团队曾在过去发起过0-day攻击。通过对他们的研究发现,这个团队存在以下特点:
1.决定无比正确,
2.资源十分丰富,
3.而且方式较新,
4.完全不计后果。
如何实现攻击?
StrongPity通过建立一个与合法网站相似度极高的网站下载站点,欺骗用户下载含有恶意程序的加密应用,攻击者在数据加密没有完成之前就获得了完整的数据。
除了基本的钓鱼攻击外,攻击者甚至还劫持了WinRAR和TrueCrypt的相关域名,替换了WinRAR和TrueCrypt安装程序文件的原有链接。如果用户点击了这个下载链接,就会在神不知鬼不觉中下载恶意程序。一旦恶意程序被安装,它就会控制整个系统,进而获得各种敏感数据。
卡巴斯基表示:
在今年的攻击中,StrongPity抛弃了以往的ICS或SCADA攻击。而是通过模仿WinRAR的合法网站建立了一个域名为ralrab.com的网站,然后将合法网站的推荐按钮链接到含有恶意程序的网站上,让用户下载含有恶意程序的安装软件。当然,其他链接则正常链接到合法软件。
伪安装程序链接图片.jpg
StrongPity提供了32位和64位的法语和荷兰语版本供下载:
hxxp://www.ralrab[.]com/rar/winrar-x64-531.exe
hxxp://www.ralrab[.]com/rar/winrar-x64-531fr.exe
hxxp://www.ralrab[.]com/rar/winrar-x64-531nl.exe
hxxp://www.ralrab[.]com/rar/wrar531.exe
hxxp://www.ralrab[.]com/rar/wrar531fr.exe
hxxp://www.ralrab[.]com/rar/wrar531nl.exe
hxxp://ralrab[.]com/rar/winrar-x64-531.exe
hxxp://ralrab[.]com/rar/winrar-x64-531nl.exe
hxxp://ralrab[.]com/rar/wrar531fr.exe
hxxp://ralrab[.]com/rar/wrar531nl.exe
hxxp://ralrab[.]com/rar/wrar53b5.exe
ralrab.com_-1.png
ralrab.com上含有恶意程序的安装文件
StrongPity的这种下载程序标榜着“非同寻常的数字证书”,但是他们并没有重用这种虚假的数字证书。这种程序的下载组件包括一个后门、键盘记录器、数据盗取器和其他的软件程序,包括putty SSH客户端、服务器源代码分析(filezilla FTP)客户端、Wnscp安全文件传输程序和远程桌面客户端。
范围广,危害大
卡巴斯基实验室的报告数据显示,今年就有超过1000种系统被这种程序影响。影响范围也比较广,欧洲、中东甚至非洲都未能幸免。意大利、土耳其、比利时、阿尔及利亚和法国是其中受影响最为严重的。
winrar.it_stats.png
winrar[.]it StrongPity component geolocation distribution
在几乎同一时间内,有超过60个访客发现他们的网站从winrar.be变为了ralrab.com,而且都是位于一个国家。在5月25至6月初这段时间内,受害国家主要集中为阿尔及利亚、摩洛哥、荷兰、加拿大、科特迪瓦和突尼斯。
winrar.be_stats.png
winrar[.]be StrongPity component geolocation distribution
这个团队在2015年年底才开始部署Truecrypt-themed 的Watering hole,但在今年的夏末,这种攻击方式就已经开始暴发。他们建立了一个直接从TrueCrypt的合法网站拉取信息的网站。7月中旬到9月初,很多土耳其和荷兰的用户发现他们的网站从tamindir.com导向了true-crypt.com。
true-crypt_stats.png
tamindir[.]com to true-crypt[.]com poisoned TrueCrypt installer redirects
winrar-and-truecrypt-found-installer-dropping-malware-user-pcs-2.png
而在该网站(true-crypt.com)的底部,也有一些链接指向含有恶意程序的安装文件:
hxxp://www.true-crypt[.]com/download/TrueCrypt-Setup-7.1a.exe
hxxp://true-crypt[.]com/files/TrueCrypt-7.2.exe
WinRAR的情况则有点特殊。黑客并不是直接将WinRAR的网站导向黑客控制的网站,而是劫持了合法网站winrar.it,将受害者引导至含有恶意程序版本的网站。winrar.it对意大利影响最为严重,其他欧洲国家也受到了一定的影响;而winrar.be则对加拿大、荷兰等国家造成了影响。
winrar.it_.png
Download page, winrar[.]it
在卡巴斯基研究人员的进一步测试中发现,这个恶意下载程序不仅能让黑客控制系统,更能让他们窃取硬盘里的内容,同时,还能下载其他的恶意程序来窃取用户的联系人信息。换句话说,只要他们愿意,你的电脑就没有秘密,他们可以随时检索你的私人数据和交流信息。所以,这种程序影响是深远的。
借用卡巴斯基研究员Kurt Baumgartner的话来说就是“WinRAR的经销商非常幸运,因为这个恶意程序已经被移除。而且它是通过伪安装程序链接到他们的网站的。”
伪安装程序链接图片.jpg
一个被通过winrar安装程序传播的网站
尽管WinRAR已经将它们移除,但某个TrueCrypt经销商的网站还能在受害者的设备中安装这种恶意程序。这个恶意程序通过经销商的网站已经在土耳其扩散并影响了相当多的用户。
tamindir.truecrypt_redirect.png
如何应对?
我们中国有句老叫做“兵来将挡水来土掩”,既然事情已经发生了,我们就要在行动中注意。
卡巴斯基的安全团队也给了我们衷告:
“When visiting sites and downloading encryption-enabled software, it has become necessary to verify the validity of the distribution site and the integrity of the downloaded file itself. Download sites not using PGP or strong digital code signing certificates need to re-examine the necessity of doing so for their own customers”。
大概就是,在浏览或者下载可加密站点时,必须要对网站有效性和文件的完整性进行验证,养成良好的习惯。而对于下载站点来说,最好是采用PGP协议和强数字密码签名来保护用户的安全。
卡巴斯基研究报告下载链接:卡巴斯基研究报告
* 参考来源:hackread ,thehackernews,threatpost,FB小编latiaojun编译,转载请注明来自FreeBuf.COM
latiaojun
latiaojun
26 篇文章
等级: 6级
||
上一篇:漏洞预警:Linux内核9年高龄的“脏牛”0day漏洞下一篇:手把手教你解密MacOS平台下的Chrome密码
这些评论亮了
cf浩哥 回复
WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序
你这标题 误导吗? 明明是黑客干的 关 winrar和truecrypt开发者什么事。。。。这标题让人以为是开发者在的安装程序里面留了木马
)38(亮了
发表评论已有 28 条评论
GunLinux (2级) 为了辣条,biubiu~ 2016-10-22回复 1楼
我是看到你头像,才点进来的~~
亮了(3)
latiaojun (6级) 一尺二的腰围,三尺三的腿长,你们算啥~~ 2016-10-22回复
@ GunLinux 怎么样,头像劲爆不~~~~
亮了(2)
迷茫的菜鸟 (1级) 2016-10-23回复
@ latiaojun #滑稽
亮了(2)
AlphaGo (1级) 2016-10-22回复 2楼
我用的Bandzip 
亮了(0)
冰冻冷咖啡BH1SMB 2016-10-22回复 3楼
晕
亮了(0)
F4ck_ 2016-10-22回复 4楼
咱们都是万年不更新的,另外都不是从官网下的[笑cry]
亮了(4)
李铁军 2016-10-22回复 5楼
转发微博
亮了(1)
虾米枫叶 2016-10-22回复 6楼
不用想 一看就是不看文章
亮了(0)
安尼玛的吟唱 2016-10-22回复 7楼
会计
亮了(1)
cf浩哥 2016-10-22回复 8楼
WinRAR和TrueCrypt安装程序在用户电脑中植入恶意程序
你这标题 误导吗? 明明是黑客干的 关 winrar和truecrypt开发者什么事。。。。这标题让人以为是开发者在的安装程序里面留了木马
亮了(38)
点亮IT人生 2016-10-22回复 9楼
我不用这玩意,目前360压缩还挺良心的[doge]
亮了(2)
TOMMYTP先生 2016-10-22回复 10楼
想起前段时间的比特币钱包 官网被黑。[笑cry]
亮了(1)
天涯衰草2016 2016-10-22回复 11楼
国内版就有。
亮了(0)
白河涛声 2016-10-22回复 12楼
用7zip
亮了(3)
扬州的小阿狸 2016-10-22回复 13楼
这东西有广告
亮了(0)
半藏厨 2016-10-22回复 14楼
我!(举手
亮了(0)
可以抱的萝卜 2016-10-22回复 15楼
卸载WinRAR,装7-Zip保平安
亮了(3)
来包辣条压压惊 2016-10-22回复 16楼
以前有个文章写的,文件和md5都被替换了,让用户放心的安装后门。
亮了(0)
神隐的马甲 2016-10-22回复 17楼
厉害了。。。
亮了(0)
Push丶EAX 专栏作者(4级) 2016-10-22回复 18楼
360这次怎么没来?不是应该宣传下软件管家么 
亮了(1)
放逐33 (4级) 别说我懒,我写了十个字。 2016-10-22回复 19楼
亮了(0)
羽度非凡 2016-10-22回复 20楼
好神奇 winrar应该不会是从第一个版本就捆绑了吧?
亮了(0)
JuncoJet 2016-10-22回复 21楼
然而中国的ghost系统自带的病毒还少吗
亮了(0)
天才布衣 (4级) 2016-10-22回复 22楼
让你们平时不检验文件,嘿嘿
亮了(0)
Aurora (4级) 2016-10-23回复 23楼
一直在用winrar 中文破解版 咋办
亮了(0)
cwg2552298 (6级) Follow my own course 2016-10-23回复 24楼
标题有点坑啊 :???:
亮了(0)
admin888 2016-10-24回复 25楼
没错,是我干的
亮了(0)
羽度非凡-网络培训讲师 2016-10-22回复 26楼
好神奇 winrar应该不会是从第一个版本就捆绑了吧?
亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
latiaojun
latiaojun
一尺二的腰围,三尺三的腿长,你们算啥~~
26
文章数
71
评论数
最近文章
iOS安全审计入门
2016.12.22
传播恶意软件最有效帮手:超95%的PowerShell脚本都是恶意脚本
2016.12.16
防火防盗反钓鱼,2016年全球网络钓鱼总汇概览
2016.12.14
浏览更多
相关阅读
深度:震网病毒的秘密(二)macOS平台最新恶意软件HiddenLotus分析You dirty RAT:地下网络犯罪世界的“黑吃黑”深入解析新型加密货币挖矿恶意软件ZombieBoy新型XBash恶意软件融合了勒索病毒、挖矿、僵尸网络和蠕虫的功能
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论