被下毒了!

编程技术宇宙

共 1338字,需浏览 3分钟

 ·

2021-11-15 10:47

西游记“三调芭蕉扇”一回中,以七十二般变化和火眼金睛见长的孙大圣,居然被牛魔王变化的猪八戒骗取了芭蕉扇。

气的猴哥直呼:“年年打雁,今天让雁啄了眼”

而这一幕,如今发生在了咱们搞网络安全的人的头上。

说起IDA,很多就算不搞安全的朋友也听说过它的大名:

IDA是一款超级强大的软件反编译神器,做逆向工程、软件破解、漏洞分析都离不开它,支持Windows、Linux、Android、MacOS等几乎所有主流操作系统和x86、x64、ARM、MIPS、PowerPC等几乎所有硬件平台软件的反编译。

你就说他6不6?

对于搞安全的同学基本上是人手必备的神器。

然而就是这样家喻户晓的神器,居然被境外黑客组织盯上了!

昨天,Twitter上有大佬爆料:发现有APT组织在IDA的安装包中“下毒”

通过这个被“下毒”的安装包完成安装后,软件安装目录下会多出两个DLL文件:

一个是在IDA的插件目录下,叫:idahelper.dll,名字取得还挺有欺骗性!

另一个是在tmp目录下,叫win_fw.dll

通过IDA对win_fw.dll进行反编译分析(额,用IDA分析IDA中的木马,有点套娃的感觉)发现,这DLL会添加一个计划任务:

这计划任务的内容,就是通过rundll32来加载执行插件目录下的idahelper.dll。

idahelper.dll一旦启动,就会发起网络连接,去下载下一阶段要执行的恶意程序。

链接的地址:

https://www.devguardmap.org/board/board_read.asp?boardid=01

结合木马程序和网络连接地址的特点,安全研究者发现这起攻击事件背后很大可能是Lazarus——一个来自半岛上隔壁那个国家的APT攻击团伙。

想不到吧,天天用IDA分析恶意软件,没想到手里的IDA里面就藏了个木马!

最危险的地方就是最安全的,这波操作,直接面向安全研究人员开火,操作不可谓不骚啊!

其实这种直接面向技术人员的定向攻击,也不是头一遭,早在2015年时,当时就有爆出,有苹果开发者通过第三方下载到的xcode里面被植入了恶意代码的事情:

这不禁让轩辕联想到前段时间马斯克在Twitter上发的七步诗同是技术人煎何太急

所以,别以为咱们是搞计算机搞软件开发搞网络安全的,就觉得很稳,有时候兵不厌诈,危险可能就藏在大家想不到的地方。

既然说到IDA,想起之前收藏的一份IDA零基础入门教程,写的非常全面,图文并茂,对大家学习汇编语言也很有帮助:

如果大家想要这份IDA教程,欢迎添加我的微信,送给你们:

最后提醒大家,平时下载软件还是要去正规的官方网站下载,尽量不要去那些第三方应用市场、软件管家,或者各种下载站下载,这些地方鱼龙混杂,风险很大。

最后的最后,你对在IDA中“下毒”一事怎么看?

   记得一键三连哦~

推荐阅读


浏览 54
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报