Securonix 研究人员发现,不明攻击者正试图诱骗 Windows 用户启动一个带有预配置后门的定制 Linux 虚拟机(VM)。
攻击活动
他们认为,攻击始于一封网络钓鱼电子邮件,但无法确定目标受害者。
该电子邮件包含一个指向异常大的 ZIP 文件(285 MB)的链接,其名称 OneAmerica Survey.zip 指向了可能的诱惑:由提供金融服务的美国公司 OneAmerica Financial 发起的一项调查。
研究人员解释说:“当用户解压缩时,会看到一个名为‘OneAmerica Survey’的文件(快捷方式)和一个包含整个 QEMU 安装目录的‘data’目录。”
研究人员解释说,”如果用户点击快捷方式文件,就会启动一个进程:
- ZIP 文件被 “解压缩”,其内容被放入用户的配置文件目录下一个名为 “datax ”的目录中
- 执行批处理 (BAT) 文件,并显示一个诱饵图像,提示 “服务器内部出错”,同时在后台执行一个(重命名的)QEMU 进程和命令行,以启动模拟的 Tiny Core Linux 环境
定制的 Linux 虚拟机旨在通过启动 SSH 连接在主机上创建一个交互式 shell(本质上是后门),攻击者可以通过该 shell 下载更多恶意有效载荷:
- 下载其他恶意有效载荷
- 在机器上安装其他工具
- 重命名文件
- 修改系统配置
- 通过系统和用户枚举进行基本侦察
- 渗出数据
“就像下棋一样,攻击者在准备他们的环境时就考虑到了策略。他们系统地安装、测试和执行了多个有效载荷和配置,每个都是为下一阶段做准备,”研究人员指出。
研究人员指出:“使用 bootlocal.sh 和 SSH 密钥表明,他们的目标是在机器上建立可靠的存在。有几次,他们从不同的 URL 下载了 crondx 文件(预配置 Chisel 客户端)。原因不明,但我们推测他们可能在修改有效载荷,直到其功能达到预期。”
诱饵镜像(来源:Securonix)
Chisel 客户端经过预配置,可通过网络套接字自动连接到指定的命令与控制(C2)服务器,从而打开一个持久后门,攻击者可通过该后门访问被入侵的环境。
逃避检测
传统的防病毒解决方案通常无法(或默认情况下不会)扫描超大文件,也无法查看仿真 Linux 环境中发生的情况。
研究人员补充说:“Chisel 的设计使其在创建隐蔽的通信渠道和穿越防火墙隧道方面尤为有效,而且往往能躲过网络监控工具的监控。”
“攻击者对 QEMU 和 Chisel 等合法软件的依赖增加了额外的规避层,因为这些工具在许多环境中都不太可能触发警报。”
Securonix 分享了与此活动相关的危害指标,并建议企业监控常见的恶意软件暂存目录,监控从异常位置执行合法软件的实例,使用强大的端点日志来帮助 PowerShell 检测。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容