被下毒了!
西游记“三调芭蕉扇”一回中,以七十二般变化和火眼金睛见长的孙大圣,居然被牛魔王变化的猪八戒骗取了芭蕉扇。
气的猴哥直呼:“年年打雁,今天让雁啄了眼”
而这一幕,如今发生在了咱们搞网络安全的人的头上。
说起IDA,很多就算不搞安全的朋友也听说过它的大名:
IDA是一款超级强大的软件反编译神器,做逆向工程、软件破解、漏洞分析都离不开它,支持Windows、Linux、Android、MacOS等几乎所有主流操作系统和x86、x64、ARM、MIPS、PowerPC等几乎所有硬件平台软件的反编译。
你就说他6不6?
对于搞安全的同学基本上是人手必备的神器。
然而就是这样家喻户晓的神器,居然被境外黑客组织盯上了!
昨天,Twitter上有大佬爆料:发现有APT组织在IDA的安装包中“下毒”
通过这个被“下毒”的安装包完成安装后,软件安装目录下会多出两个DLL文件:
一个是在IDA的插件目录下,叫:idahelper.dll
,名字取得还挺有欺骗性!
另一个是在tmp目录下,叫win_fw.dll
通过IDA对win_fw.dll
进行反编译分析(额,用IDA分析IDA中的木马,有点套娃的感觉)发现,这DLL会添加一个计划任务:
这计划任务的内容,就是通过rundll32来加载执行插件目录下的idahelper.dll。
idahelper.dll一旦启动,就会发起网络连接,去下载下一阶段要执行的恶意程序。
链接的地址:
https://www.devguardmap.org/board/board_read.asp?boardid=01
结合木马程序和网络连接地址的特点,安全研究者发现这起攻击事件背后很大可能是Lazarus——一个来自半岛上隔壁那个国家的APT攻击团伙。
想不到吧,天天用IDA分析恶意软件,没想到手里的IDA里面就藏了个木马!
最危险的地方就是最安全的,这波操作,直接面向安全研究人员开火,操作不可谓不骚啊!
其实这种直接面向技术人员的定向攻击,也不是头一遭,早在2015年时,当时就有爆出,有苹果开发者通过第三方下载到的xcode里面被植入了恶意代码的事情:
这不禁让轩辕联想到前段时间马斯克在Twitter上发的七步诗,同是技术人相煎何太急!
所以,别以为咱们是搞计算机搞软件开发搞网络安全的,就觉得很稳,有时候兵不厌诈,危险可能就藏在大家想不到的地方。
既然说到IDA,想起之前收藏的一份IDA零基础入门教程,写的非常全面,图文并茂,对大家学习汇编语言也很有帮助:
如果大家想要这份IDA教程,欢迎添加我的微信,送给你们:
最后提醒大家,平时下载软件还是要去正规的官方网站下载,尽量不要去那些第三方应用市场、软件管家,或者各种下载站下载,这些地方鱼龙混杂,风险很大。
最后的最后,你对在IDA中“下毒”一事怎么看?