被下毒了!
西游記“三調(diào)芭蕉扇”一回中,以七十二般變化和火眼金睛見長的孫大圣,居然被牛魔王變化的豬八戒騙取了芭蕉扇。
氣的猴哥直呼:“年年打雁,今天讓雁啄了眼”
而這一幕,如今發(fā)生在了咱們搞網(wǎng)絡(luò)安全的人的頭上。
說起IDA,很多就算不搞安全的朋友也聽說過它的大名:
IDA是一款超級(jí)強(qiáng)大的軟件反編譯神器,做逆向工程、軟件破解、漏洞分析都離不開它,支持Windows、Linux、Android、MacOS等幾乎所有主流操作系統(tǒng)和x86、x64、ARM、MIPS、PowerPC等幾乎所有硬件平臺(tái)軟件的反編譯。
你就說他6不6?
對于搞安全的同學(xué)基本上是人手必備的神器。
然而就是這樣家喻戶曉的神器,居然被境外黑客組織盯上了!
昨天,Twitter上有大佬爆料:發(fā)現(xiàn)有APT組織在IDA的安裝包中“下毒”
通過這個(gè)被“下毒”的安裝包完成安裝后,軟件安裝目錄下會(huì)多出兩個(gè)DLL文件:
一個(gè)是在IDA的插件目錄下,叫:idahelper.dll,名字取得還挺有欺騙性!
另一個(gè)是在tmp目錄下,叫win_fw.dll
通過IDA對win_fw.dll進(jìn)行反編譯分析(額,用IDA分析IDA中的木馬,有點(diǎn)套娃的感覺)發(fā)現(xiàn),這DLL會(huì)添加一個(gè)計(jì)劃任務(wù):
這計(jì)劃任務(wù)的內(nèi)容,就是通過rundll32來加載執(zhí)行插件目錄下的idahelper.dll。
idahelper.dll一旦啟動(dòng),就會(huì)發(fā)起網(wǎng)絡(luò)連接,去下載下一階段要執(zhí)行的惡意程序。
鏈接的地址:
https://www.devguardmap.org/board/board_read.asp?boardid=01
結(jié)合木馬程序和網(wǎng)絡(luò)連接地址的特點(diǎn),安全研究者發(fā)現(xiàn)這起攻擊事件背后很大可能是Lazarus——一個(gè)來自半島上隔壁那個(gè)國家的APT攻擊團(tuán)伙。
想不到吧,天天用IDA分析惡意軟件,沒想到手里的IDA里面就藏了個(gè)木馬!
最危險(xiǎn)的地方就是最安全的,這波操作,直接面向安全研究人員開火,操作不可謂不騷啊!
其實(shí)這種直接面向技術(shù)人員的定向攻擊,也不是頭一遭,早在2015年時(shí),當(dāng)時(shí)就有爆出,有蘋果開發(fā)者通過第三方下載到的xcode里面被植入了惡意代碼的事情:
這不禁讓軒轅聯(lián)想到前段時(shí)間馬斯克在Twitter上發(fā)的七步詩,同是技術(shù)人相煎何太急!
所以,別以為咱們是搞計(jì)算機(jī)搞軟件開發(fā)搞網(wǎng)絡(luò)安全的,就覺得很穩(wěn),有時(shí)候兵不厭詐,危險(xiǎn)可能就藏在大家想不到的地方。
既然說到IDA,想起之前收藏的一份IDA零基礎(chǔ)入門教程,寫的非常全面,圖文并茂,對大家學(xué)習(xí)匯編語言也很有幫助:
如果大家想要這份IDA教程,歡迎添加我的微信,送給你們:
最后提醒大家,平時(shí)下載軟件還是要去正規(guī)的官方網(wǎng)站下載,盡量不要去那些第三方應(yīng)用市場、軟件管家,或者各種下載站下載,這些地方魚龍混雜,風(fēng)險(xiǎn)很大。
最后的最后,你對在IDA中“下毒”一事怎么看?
記得一鍵三連哦~
