集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

不法黑客盯上企业终端管理软件,360安全大脑强势出击解隐忧

2021-02-05

企业终端管理软件是企业数字化运转的基础,而当不法黑客盯上企业级软件,威胁无可预估。

近日,360安全大脑监测发现,有不法分子利用某软件“终端安全管理系统”客户端进行非法活动,通过控制被害目标机器的方式欲行不轨。发现此类威胁后,360政企安全集团已在第一时间通知相关厂商处理,并发布安全预警。


undefined


该软件是一款企业IT管理软件,具有远程控制、上传下载文件、屏幕监控等功能。不法黑客正是看中这一特点,将该软件的受控端伪装成Telegram、Skype、如流等软件的安装程序,并借助钓鱼网站传播,以诱导不明网友点击运行,进而控制被害者机器。

对此,360安全大脑提醒广大政企用户提高警惕,可安装360终端安全管理系统,尽快防范并杜绝此类威胁。


远控木马“附身”企业管理软件

监控窃密正在进行时


360安全大脑分析数据显示,该款软件在去年就已经被多个钓鱼挂马组织利用,直至今年1月中旬,开始出现较大规模传播,目前传播量仍在不断扩大。


undefined


以假冒的“如流”为例。从钓鱼网页下载的“如流”安装包,实际上就是经不法黑客处理的“终端安全管理系统”安装包。下载后安装包名称“poclient_setup_154.197.48.22_D8(RULIU).exe”, 显示的文件则是某品牌安全终端安装程序。值得注意的是,该安装包会根据文件名中含有的IP,在安装完成后自动完成配置,将服务端地址指向该IP。


undefined

 

为验证攻击者是否真能成功利用该软件进行控制受控端,360政企安全集团安全专家在本地机器进行了测试。经反复测试验证,该服务端不仅可以实时远程控制受控端,还能窃取受控端的文件和信息。


undefined

 

以屏幕监控功能为例,此软件每隔5秒就会对用户屏幕进行一次截图保存,可将受害目标的一举一动全部记录下来。


undefined

 

实际上,此类“正常软件”被不法分子利用已屡见不鲜。早在2016年,就有不法黑客恶意利用国际知名管理软件TeamViewer,实现远程控制进行非法操作。

 

360安全大脑出击铲杀远控威胁

坚守企业终端安全


对于管理或协助类软件来说,远程查看、远程控制、数据传输都是必备的基础功能,而这也正是远控木马所需要的。同时,为了方便企业级客户的大规模批量部署,此类软件存在受控端加入隐藏界面、全自动安装、快速配置等功能,这也就为安全埋下了隐忧。


undefined

 

对于已经中招或怀疑自己已经中招的用户,可以检查自己电脑的C:\Windows\projone\podlp目录,若存在该目录,则意味着可能已经中招。


undefined


此外,可通过查看系统的“服务”列表确认是否中招。若存在名称为“pohost”的服务项,则证明已经中招。


undefined

 

由于该软件没有卸载程序,一般操作无法正常卸载。如不幸中招,可使用360软件管家对其进行卸载处理。


undefined

 

作为新时代的网络安全运营商,360政企安全集团立足党政军企网络安全刚需,在360安全大脑的极智赋能下,面向政企用户推出360终端安全产品体系,通过360终端安全管理系统、360安全卫士团队版等产品,输出体系化全维度的安全防护。

现阶段,在360安全大脑的强势赋能下,360终端安全管理系统、360安全卫士团队版等系列产品可对此类病毒威胁做出有效处理。最后,面对此类远控威胁,360安全大脑给出如下安全建议:

1、对于广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而对于小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御木马病毒攻击;

2、对于安全软件报毒的程序,不要轻易添加信任或退出安全软件;

3、安装并确保开启安全软件,保证其对本机的安全防护。