当被问及“目标是如何感染恶意软件的?”我们的答案几乎总是一样的:(鱼叉式)网络钓鱼!当然也会有例外,因为我们会时不时地遇到远程代码执行(RCE)漏洞,或者如果攻击者已经在网络上,他们会使用PsExec之类的工具。但即便如此,大多数时候的感染途径确实是网络钓鱼。
不过,即便恶意行为者仍将电子邮件作为主要感染媒介,但也不应排除其他方法。恶意软件开发人员正在不断更新他们的传播方式。为了更好地识别和预防恶意软件攻击,接下来,我们为大家总结了一些罕见的恶意软件感染和传播路径。
Black Basta是一种用C++编写的相对较新的勒索软件变体,于2022年2月首次被发现,支持命令行参数“-forcepath”,该参数只用于加密指定目录下的文件。否则,整个系统(除某些关键目录外)将被加密。
最近,Black Basta进一步发展演变,已经有了第二个可选的命令行参数:“-bomb”。当使用该参数时,恶意软件会执行以下操作:
【显示LDAP功能的代码片段】
使用内置传播方法的好处是,它在系统中留下的痕迹更少,而且比使用公共工具更隐蔽。例如,攻击者最喜欢的工具之一PsExec很容易在网络上被检测到。这种新方法使网络防御者检测到恶意活动的可能性更小。
网络犯罪分子很少使用恶意torrent来感染他们的目标。然而,正如CLoader所证实的那样,这是一种不容忽视的感染方法。
CLoader于2022年4月首次被发现。它使用破解的游戏和软件作为诱饵,诱骗用户安装恶意软件。下载的文件为NSIS安装程序,安装脚本中含有恶意代码。
【恶意脚本:红色部分为恶意软件下载代码】
综合来看,该恶意软件共计下载了6种不同的有效负载:
研究发现,世界各地的用户都受到了该恶意软件的感染,但受害人群主要分布在美国、巴西和印度等地。
2022年8月,卡巴斯基观察到一项至少从1月份就开始的恶意软件活动,主要针对说中文的用户。2022年1月份,YouTube上一个颇受欢迎的匿名中文频道发布了一段视频,说明如何安装Tor浏览器。这本身并不奇怪,因为Tor浏览器在中国是被屏蔽的。然而,如果用户单击描述中的链接,就会下载受感染的Tor浏览器版本,其中包含一个旨在收集个人数据的间谍软件库,并将其发送到攻击者控制的服务器,还可以让攻击者能够在受害者的机器上执行shell命令。
受感染的版本几乎与原始版本相同,因此用户不会注意到任何不同。但它与良性版本的主要区别在于:
后门Freebl3.dll的功能非常简单。它将所有功能代理到原始DLL,并从C2下载一个附加的DLL。下载的DLL包含大部分恶意功能。除此之外,它还能够:
在良性软件中添加恶意代码以隐藏非法活动和欺骗用户是我们经常遇到的一种技术。我们不常看到的是被恶意签名的后门二进制文件。AdvancedIPSpyware就是这种情况,它是网络管理员用来控制LAN的合法Advanced IP Scanner工具的后门版本。用于签署恶意软件的证书很可能被盗。该恶意软件托管在两个站点上,其域与合法的Advanced IP Scanner网站几乎相同,仅URL中的一个字符不同。此外,这些网站看起来都一样。唯一的区别是恶意网站上的“免费下载”按钮。
【合法(左)与恶意签名(右)的二进制文件】
AdvancedIPSpyware另一个不常见的特性是它的模块化架构。通常,模块化架构出现在国家支持的恶意软件中,而非犯罪软件中。我们观察到以下三个通过IPC相互通信的模块:
AdvancedIPSpyware活动的受害者范围很广,包括拉丁美洲、非洲、西欧、南亚、澳大利亚和独联体(CIS)都发现了多名受害者。在整个活动过程中,受感染的受害者总数约为80人。
RapperBot基于Mirai(但使用不同的C2命令协议),是一种感染物联网设备的蠕虫,其最终目标是针对非http目标发起DDoS攻击。卡巴斯基在2022年6月观察到了首个样本,当时它针对的是SSH服务,而非Telnet服务。然而,最新版本删除了SSH功能部分,现在只关注Telnet,并且已经取得了相当大的成功。在2022年第四季度,共发现来自超过2000个唯一IP地址的112,000个RapperBot感染尝试。
RapperBot与其他蠕虫的区别在于其“智能”的暴力破解方式:它会检查提示(prompt),并根据提示选择适当的凭据。这种方法大大加快了暴力破解过程,因为它不需要浏览大量的凭据列表。
然后RapperBot确定处理器架构并感染设备。实际的恶意软件下载是通过各种可能的命令(例如wget、curl、tftp和ftpget)完成的。如果由于某种原因这些方法不起作用,那么恶意软件下载程序就会通过shell“echo”命令上传到设备上。
Rhadamanthys是一种新型信息窃取工具,于2022年9月首次在一个俄语网络犯罪论坛上发布,并作为恶意软件即服务(MaaS)平台提供。根据创建者的说法,该恶意软件:
尽管该恶意软件早在2022年9月就已经发布了营销广告,但研究人员在2023年初才检测到第一批样本。虽然Rhadamanthys最初使用网络钓鱼和垃圾邮件作为感染媒介,但最近的方法是恶意广告。
在线广告平台为广告商提供了竞价的可能性,以便在谷歌等搜索引擎、网站、移动应用程序上展示简短的广告。Rhadamanthys利用了搜索引擎和基于网站的广告平台。他们的伎俩是显示代表合法应用程序的广告,但实际上包含钓鱼网站的链接。这些钓鱼网站包含虚假安装程序,引诱用户下载和安装恶意软件。
在分析Rhadamanthys时,研究人员注意到它与Hidden Bee miner有很强的联系。两个示例都使用图像来隐藏有效负载,并且都具有类似的用于引导的shellcode。此外,两者都使用“内存虚拟文件系统”,并利用Lua来加载插件和模块。
【Rhandamanthys的“prepare.bin”和Hidden Bee的“preload”模块比较】
2021年8月,GitHub上启动了一个名为SilentCryptoMiner的项目,托管由下载器和有效载荷、bot源和编译的构建器以及其他软件(如系统监视器)组成的挖矿程序。它一直在不断更新,最近一次更新可以追溯到2022年10月31日。这个存储库很受网络犯罪分子的欢迎,正如研究人员检测到的大量样本所表明的那样,这些样本有许多小的变化,并与不同的url和https结合在一起,这清楚地表明该恶意软件被多个组织以各种方式同时使用。
在调查中,研究人员注意到两种传播恶意软件的方法。第一种是通过BitTorrent下载的木马破解软件。另一种方法是从OneDrive共享网络下载的木马化破解软件。受害者是如何被引诱下载这些破解的软件包的只是猜测,因为我们找不到任何直接联系。然而,如今许多破解网站并不立即提供下载。相反地,他们指向Discord服务器频道进行进一步讨论。这表明某种形式的社会工程。
该下载程序是用.net编写的,名为CUEMiner。尽管是用.net编写的,但它是由一个基于c++的dropper包装的,它连接到一组url,这些url因样本而异,用于下载挖矿程序和配置设置。它还执行一些检查,以确保它在裸机系统(而非虚拟机)上运行。如果所有检查都通过了,该恶意软件将:
要防范恶意软件入侵,需要用户在使用计算机的过程中加强安全防范意识,利用掌握的计算机知识,尽可能多地消除系统安全隐患,力求将恶意软件阻隔在系统之外。通常,我们可以采取以下措施来防范恶意软件的入侵:
感染恶意软件后,电脑通常会出现运行速度变慢、浏览器异常、系统混乱甚至系统崩溃等问题。因此尽早掌握恶意软件的清除方法,对于广大计算机使用者来说是十分必要的。
如果发觉自己的计算机感染了少量恶意软件,可以尝试用手工方法将其清除。具体方法如下:
以上四步完成以后,重启计算机进入正常模式,通常恶意软件即可被清除。
随着恶意软件技术越来越高,使用手工的方法已很难彻底清除它们,不妨借助一些专业的软件来帮忙。目前,互联网上可供查杀恶意软件的工具有很多,您可以按照自身需求选择。需要注意的一点是,最好在安全模式下运行这些清除软件,这样查杀更为彻底。
参考链接:
https://securelist.com/uncommon-infection-and-malware-propagation-methods/107640/
https://securelist.com/crimeware-report-uncommon-infection-methods-2/109522/