當被問及“目標是如何感染惡意軟件的?”我們的答案幾乎總是一樣的:(魚叉式)網絡釣魚!當然也會有例外,因為我們會時不時地遇到遠程代碼執行(RCE)漏洞,或者如果攻擊者已經在網絡上,他們會使用PsExec之類的工具。但即便如此,大多數時候的感染途徑確實是網絡釣魚。

不過,即便惡意行為者仍將電子郵件作為主要感染媒介,但也不應排除其他方法。惡意軟件開發人員正在不斷更新他們的傳播方式。為了更好地識別和預防惡意軟件攻擊,接下來,我們為大家總結了一些罕見的惡意軟件感染和傳播路徑。

Black Basta:一種新的傳播方法

Black Basta是一種用C++編寫的相對較新的勒索軟件變體,于2022年2月首次被發現,支持命令行參數“-forcepath”,該參數只用于加密指定目錄下的文件。否則,整個系統(除某些關鍵目錄外)將被加密。

最近,Black Basta進一步發展演變,已經有了第二個可選的命令行參數:“-bomb”。當使用該參數時,惡意軟件會執行以下操作:

  • 使用LDAP庫連接到AD,并獲得網絡上的機器列表;
  • 使用機器列表,將自己復制到每臺機器;
  • 使用組件對象模型(COM),在每臺機器上遠程運行。

【顯示LDAP功能的代碼片段】

使用內置傳播方法的好處是,它在系統中留下的痕跡更少,而且比使用公共工具更隱蔽。例如,攻擊者最喜歡的工具之一PsExec很容易在網絡上被檢測到。這種新方法使網絡防御者檢測到惡意活動的可能性更小。

CLoader:通過惡意torrent感

網絡犯罪分子很少使用惡意torrent來感染他們的目標。然而,正如CLoader所證實的那樣,這是一種不容忽視的感染方法。

CLoader于2022年4月首次被發現。它使用破解的游戲和軟件作為誘餌,誘騙用戶安裝惡意軟件。下載的文件為NSIS安裝程序,安裝腳本中含有惡意代碼。

【惡意腳本:紅色部分為惡意軟件下載代碼】

綜合來看,該惡意軟件共計下載了6種不同的有效負載:

  • Microleaves惡意代理:在受感染的機器上作為代理運行;
  • Paybiz惡意代理:在受感染的機器上作為代理運行;
  • MediaCapital下載程序:可能會在系統中安裝更多的惡意軟件;
  • CSDI下載程序:可能會在系統中安裝更多的惡意軟件;
  • Hostwin64下載程序:可能會在系統中安裝更多的惡意軟件;
  • Inlog后門:安裝合法的NetSupport應用程序,用于遠程訪問機器。

研究發現,世界各地的用戶都受到了該惡意軟件的感染,但受害人群主要分布在美國、巴西和印度等地。

OnionPoison:通過假冒的TOR瀏覽器感染

2022年8月,卡巴斯基觀察到一項至少從1月份就開始的惡意軟件活動,主要針對說中文的用戶。2022年1月份,YouTube上一個頗受歡迎的匿名中文頻道發布了一段視頻,說明如何安裝Tor瀏覽器。這本身并不奇怪,因為Tor瀏覽器在中國是被屏蔽的。然而,如果用戶單擊描述中的鏈接,就會下載受感染的Tor瀏覽器版本,其中包含一個旨在收集個人數據的間諜軟件庫,并將其發送到攻擊者控制的服務器,還可以讓攻擊者能夠在受害者的機器上執行shell命令。

受感染的版本幾乎與原始版本相同,因此用戶不會注意到任何不同。但它與良性版本的主要區別在于:

  • 安裝程序缺乏數字簽名;
  • 原始版本附帶的一個DLL(dll)是完全不同的,因為它包含后門代碼;
  • 包含一個新文件(dll),它與原來的freebl3.dll相同;
  • 與TOR捆綁在一起的Firefox二進制文件與原始二進制文件相差一個字節,即用于更新的URL中的一個字符。通過這種方式,攻擊者可以阻止瀏覽器自我更新;
  • 瀏覽器配置文件被修改以減少匿名性。例如,瀏覽歷史記錄現在存儲在磁盤上。

后門Freebl3.dll的功能非常簡單。它將所有功能代理到原始DLL,并從C2下載一個附加的DLL。下載的DLL包含大部分惡意功能。除此之外,它還能夠:

  • 在系統中執行命令;
  • 發送TOR瀏覽歷史到C2;
  • 將受害者的微信和QQ賬號ID發送到C2。

AdvancedIPSpyware:嵌入后門和惡意簽名的良性工具

在良性軟件中添加惡意代碼以隱藏非法活動和欺騙用戶是我們經常遇到的一種技術。我們不常看到的是被惡意簽名的后門二進制文件。

AdvancedIPSpyware就是這種情況,它是網絡管理員用來控制LAN的合法Advanced IP Scanner工具的后門版本。用于簽署惡意軟件的證書很可能被盜。該惡意軟件托管在兩個站點上,其域與合法的Advanced IP Scanner網站幾乎相同,僅URL中的一個字符不同。此外,這些網站看起來都一樣。唯一的區別是惡意網站上的“免費下載”按鈕。

【合法(左)與惡意簽名(右)的二進制文件】

AdvancedIPSpyware另一個不常見的特性是它的模塊化架構。通常,模塊化架構出現在國家支持的惡意軟件中,而非犯罪軟件中。我們觀察到以下三個通過IPC相互通信的模塊:

  • 主模塊:更新或刪除自身,或產生另一個實例;
  • 命令執行模塊:典型的間諜軟件功能,例如信息收集、命令執行等;
  • 網絡通信模塊:處理所有與網絡相關的功能。

AdvancedIPSpyware活動的受害者范圍很廣,包括拉丁美洲、非洲、西歐、南亞、澳大利亞和獨聯體(CIS)都發現了多名受害者。在整個活動過程中,受感染的受害者總數約為80人。

RapperBot:“智能暴力破解”

RapperBot基于Mirai(但使用不同的C2命令協議),是一種感染物聯網設備的蠕蟲,其最終目標是針對非http目標發起DDoS攻擊。卡巴斯基在2022年6月觀察到了首個樣本,當時它針對的是SSH服務,而非Telnet服務。然而,最新版本刪除了SSH功能部分,現在只關注Telnet,并且已經取得了相當大的成功。在2022年第四季度,共發現來自超過2000個唯一IP地址的112,000個RapperBot感染嘗試。

RapperBot與其他蠕蟲的區別在于其“智能”的暴力破解方式:它會檢查提示(prompt),并根據提示選擇適當的憑據。這種方法大大加快了暴力破解過程,因為它不需要瀏覽大量的憑據列表。

然后RapperBot確定處理器架構并感染設備。實際的惡意軟件下載是通過各種可能的命令(例如wget、curl、tftp和ftpget)完成的。如果由于某種原因這些方法不起作用,那么惡意軟件下載程序就會通過shell“echo”命令上傳到設備上。

Rhadamanthys:網站和搜索引擎上的惡意廣告

Rhadamanthys是一種新型信息竊取工具,于2022年9月首次在一個俄語網絡犯罪論壇上發布,并作為惡意軟件即服務(MaaS)平臺提供。根據創建者的說法,該惡意軟件:

  • 是用C/ C++編寫的,而C2是用Golang編寫的;
  • 能夠實現“隱形”感染;
  • 能夠竊取/收集CPU類型、屏幕分辨率、支持的錢包等信息;
  • 能夠逃避EDR / AV檢測;
  • 與C2進行加密通信。

盡管該惡意軟件早在2022年9月就已經發布了營銷廣告,但研究人員在2023年初才檢測到第一批樣本。雖然Rhadamanthys最初使用網絡釣魚和垃圾郵件作為感染媒介,但最近的方法是惡意廣告。

在線廣告平臺為廣告商提供了競價的可能性,以便在谷歌等搜索引擎、網站、移動應用程序上展示簡短的廣告。Rhadamanthys利用了搜索引擎和基于網站的廣告平臺。他們的伎倆是顯示代表合法應用程序的廣告,但實際上包含釣魚網站的鏈接。這些釣魚網站包含虛假安裝程序,引誘用戶下載和安裝惡意軟件。

在分析Rhadamanthys時,研究人員注意到它與Hidden Bee miner有很強的聯系。兩個示例都使用圖像來隱藏有效負載,并且都具有類似的用于引導的shellcode。此外,兩者都使用“內存虛擬文件系統”,并利用Lua來加載插件和模塊。

【Rhandamanthys的“prepare.bin”和Hidden Bee的“preload”模塊比較】

CUEMiner:通過BitTorrent和OneDrive分發

2021年8月,GitHub上啟動了一個名為SilentCryptoMiner的項目,托管由下載器和有效載荷、bot源和編譯的構建器以及其他軟件(如系統監視器)組成的挖礦程序。它一直在不斷更新,最近一次更新可以追溯到2022年10月31日。這個存儲庫很受網絡犯罪分子的歡迎,正如研究人員檢測到的大量樣本所表明的那樣,這些樣本有許多小的變化,并與不同的url和https結合在一起,這清楚地表明該惡意軟件被多個組織以各種方式同時使用。

在調查中,研究人員注意到兩種傳播惡意軟件的方法。第一種是通過BitTorrent下載的木馬破解軟件。另一種方法是從OneDrive共享網絡下載的木馬化破解軟件。受害者是如何被引誘下載這些破解的軟件包的只是猜測,因為我們找不到任何直接聯系。然而,如今許多破解網站并不立即提供下載。相反地,他們指向Discord服務器頻道進行進一步討論。這表明某種形式的社會工程。

該下載程序是用.net編寫的,名為CUEMiner。盡管是用.net編寫的,但它是由一個基于c++的dropper包裝的,它連接到一組url,這些url因樣本而異,用于下載挖礦程序和配置設置。它還執行一些檢查,以確保它在裸機系統(而非虛擬機)上運行。如果所有檢查都通過了,該惡意軟件將:

  • 重新配置Windows Defender以逃避用戶配置文件路徑和整個系統驅動器掃描;
  • 從硬編碼的URL獲取配置細節并將其保存在不同的位置(例如,c:\logs.uce, %localappdata%\logs.uce);
  • 在%ProgramData%\HostData中創建空文件和子目錄,使目錄看起來是良性的;
  • 下載挖礦程序和監視器。

惡意軟件防御建議

要防范惡意軟件入侵,需要用戶在使用計算機的過程中加強安全防范意識,利用掌握的計算機知識,盡可能多地消除系統安全隱患,力求將惡意軟件阻隔在系統之外。通常,我們可以采取以下措施來防范惡意軟件的入侵:

1. 加強系統安全設置

  • 及時更新系統補丁和殺毒軟件:有一些惡意軟件是非常善于利用系統漏洞的,及時更新系統補丁有利于降低感染惡意軟件的風險;
  • 嚴格賬號管理:停用guest賬號,把administrator賬號改名。刪除所有的duplicate user賬號、測試賬號、共享賬號等。不同的用戶組設置不同的權限,嚴格限制具有管理員權限的用戶數量,確保不存在密碼為空的賬號;
  • 關閉不必要的服務和端口:禁用一些不需要的或者存在安全隱患的服務。如果不是應用所需,請關閉:遠程協助、遠程桌面、遠程注冊表、Telnet等服務。

2. 養成良好的電腦使用習慣

  • 不要安裝不明來源的軟件:大多數的惡意軟件是需要用戶下載并安裝的,當然這種過程有時候是很隱蔽的。它們往往附著在一些常見軟件里面,隨其一起安裝;
  • 正確使用電子郵件、通訊軟件:電子郵件是惡意軟件傳播最原始和最常見的方式。不打開來源不明郵件中的鏈接或下載郵件中的附件。養成謹慎的習慣,特別是遇到陌生人發的鏈接或附件時;
  • 不要隨意打開不明網站:很多惡意軟件都是通過惡意網站進行傳播的。當用戶使用瀏覽器打開這些惡意網站,系統會自動從后臺下載這些惡意軟件,并在用戶不知情的情況下安裝到用戶的電腦中。因此,上網時不要隨意打開一些不明網站,盡量訪問主流熟悉的站點;
  • 安裝軟件時要“細看慢點”:很多捆綁了惡意軟件的安裝程序都有一些說明,需要在安裝時注意加以選擇,不能“下一步”到底;
  • 禁用或限制使用Java程序及ActiveX控件:惡意軟件經常使用Java、Java Applet、 ActiveX 編寫的腳本獲取你的用戶標識、IP地址、口令等信息,甚至會在你的機器上安裝某些程序或進行其他操作,因此應對Java、Java小程序腳本、ActiveX控件和插件的使用進行限制。

感染惡意軟件后,電腦通常會出現運行速度變慢、瀏覽器異常、系統混亂甚至系統崩潰等問題。因此盡早掌握惡意軟件的清除方法,對于廣大計算機使用者來說是十分必要的。

手工清除

如果發覺自己的計算機感染了少量惡意軟件,可以嘗試用手工方法將其清除。具體方法如下:

  • 重啟計算機,開機按 F8 鍵,選擇進入安全模式;
  • 刪除瀏覽器的Internet臨時文件、Cookies、歷史記錄和系統臨時文件;
  • 在“控制面板”→“添加或刪除程序”中查找惡意軟件,如果存在將其卸載。找到惡意軟件的安裝目錄,將其連同其中的文件一并刪除;
  • 在“運行”中輸入“regedit”,進入注冊表編輯器,在注冊表中查找是否存在含有惡意軟件的項、值或數據,如果存在,將其刪除。

以上四步完成以后,重啟計算機進入正常模式,通常惡意軟件即可被清除。

借助專業清除軟件

隨著惡意軟件技術越來越高,使用手工的方法已很難徹底清除它們,不妨借助一些專業的軟件來幫忙。目前,互聯網上可供查殺惡意軟件的工具有很多,您可以按照自身需求選擇。需要注意的一點是,最好在安全模式下運行這些清除軟件,這樣查殺更為徹底。

軟件
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接