揭秘恶意软件的罕见感染方式

当被问及“目标是如何感染恶意软件的？”我们的答案几乎总是一样的：（鱼叉式）网络钓鱼！当然也会有例外，因为我们会时不时地遇到远程代码执行（RCE）漏洞，或者如果攻击者已经在网络上，他们会使用PsExec之类的工具。但即便如此，大多数时候的感染途径确实是网络钓鱼。

不过，即便恶意行为者仍将电子邮件作为主要感染媒介，但也不应排除其他方法。恶意软件开发人员正在不断更新他们的传播方式。为了更好地识别和预防恶意软件攻击，接下来，我们为大家总结了一些罕见的恶意软件感染和传播路径。

Black Basta：一种新的传播方法

Black Basta是一种用C++编写的相对较新的勒索软件变体，于2022年2月首次被发现，支持命令行参数“-forcepath”，该参数只用于加密指定目录下的文件。否则，整个系统（除某些关键目录外）将被加密。

最近，Black Basta进一步发展演变，已经有了第二个可选的命令行参数：“-bomb”。当使用该参数时，恶意软件会执行以下操作:

• 使用LDAP库连接到AD，并获得网络上的机器列表；

• 使用机器列表，将自己复制到每台机器；

• 使用组件对象模型（COM），在每台机器上远程运行。

【显示LDAP功能的代码片段】

使用内置传播方法的好处是，它在系统中留下的痕迹更少，而且比使用公共工具更隐蔽。例如，攻击者最喜欢的工具之一PsExec很容易在网络上被检测到。这种新方法使网络防御者检测到恶意活动的可能性更小。

CLoader：通过恶意torrent感染

网络犯罪分子很少使用恶意torrent来感染他们的目标。然而，正如CLoader所证实的那样，这是一种不容忽视的感染方法。

CLoader于2022年4月首次被发现。它使用破解的游戏和软件作为诱饵，诱骗用户安装恶意软件。下载的文件为NSIS安装程序，安装脚本中含有恶意代码。

【恶意脚本：红色部分为恶意软件下载代码】

综合来看，该恶意软件共计下载了6种不同的有效负载:

• Microleaves恶意代理：在受感染的机器上作为代理运行；

• Paybiz恶意代理：在受感染的机器上作为代理运行；

• MediaCapital下载程序：可能会在系统中安装更多的恶意软件；

• CSDI下载程序：可能会在系统中安装更多的恶意软件；

• Hostwin64下载程序：可能会在系统中安装更多的恶意软件；

• Inlog后门：安装合法的NetSupport应用程序，用于远程访问机器。

研究发现，世界各地的用户都受到了该恶意软件的感染，但受害人群主要分布在美国、巴西和印度等地。

OnionPoison：通过假冒的TOR浏览器感染

2022年8月，卡巴斯基观察到一项至少从1月份就开始的恶意软件活动，主要针对说中文的用户。2022年1月份，YouTube上一个颇受欢迎的匿名中文频道发布了一段视频，说明如何安装Tor浏览器。这本身并不奇怪，因为Tor浏览器在中国是被屏蔽的。然而，如果用户单击描述中的链接，就会下载受感染的Tor浏览器版本，其中包含一个旨在收集个人数据的间谍软件库，并将其发送到攻击者控制的服务器，还可以让攻击者能够在受害者的机器上执行shell命令。

受感染的版本几乎与原始版本相同，因此用户不会注意到任何不同。但它与良性版本的主要区别在于：

• 安装程序缺乏数字签名；

• 原始版本附带的一个DLL（dll）是完全不同的，因为它包含后门代码；

• 包含一个新文件（dll），它与原来的freebl3.dll相同；

• 与TOR捆绑在一起的Firefox二进制文件与原始二进制文件相差一个字节，即用于更新的URL中的一个字符。通过这种方式，攻击者可以阻止浏览器自我更新；

• 浏览器配置文件被修改以减少匿名性。例如，浏览历史记录现在存储在磁盘上。

后门Freebl3.dll的功能非常简单。它将所有功能代理到原始DLL，并从C2下载一个附加的DLL。下载的DLL包含大部分恶意功能。除此之外，它还能够:

• 在系统中执行命令；

• 发送TOR浏览历史到C2；

• 将受害者的微信和QQ账号ID发送到C2。

AdvancedIPSpyware：嵌入后门和恶意签名的良性工具

在良性软件中添加恶意代码以隐藏非法活动和欺骗用户是我们经常遇到的一种技术。我们不常看到的是被恶意签名的后门二进制文件。

AdvancedIPSpyware就是这种情况，它是网络管理员用来控制LAN的合法Advanced IP Scanner工具的后门版本。用于签署恶意软件的证书很可能被盗。该恶意软件托管在两个站点上，其域与合法的Advanced IP Scanner网站几乎相同，仅URL中的一个字符不同。此外，这些网站看起来都一样。唯一的区别是恶意网站上的“免费下载”按钮。

【合法（左）与恶意签名（右）的二进制文件】

AdvancedIPSpyware另一个不常见的特性是它的模块化架构。通常，模块化架构出现在国家支持的恶意软件中，而非犯罪软件中。我们观察到以下三个通过IPC相互通信的模块：

• 主模块：更新或删除自身，或产生另一个实例；

• 命令执行模块：典型的间谍软件功能，例如信息收集、命令执行等；

• 网络通信模块：处理所有与网络相关的功能。

AdvancedIPSpyware活动的受害者范围很广，包括拉丁美洲、非洲、西欧、南亚、澳大利亚和独联体（CIS）都发现了多名受害者。在整个活动过程中，受感染的受害者总数约为80人。

RapperBot：“智能暴力破解”

RapperBot基于Mirai（但使用不同的C2命令协议），是一种感染物联网设备的蠕虫，其最终目标是针对非http目标发起DDoS攻击。卡巴斯基在2022年6月观察到了首个样本，当时它针对的是SSH服务，而非Telnet服务。然而，最新版本删除了SSH功能部分，现在只关注Telnet，并且已经取得了相当大的成功。在2022年第四季度，共发现来自超过2000个唯一IP地址的112,000个RapperBot感染尝试。

RapperBot与其他蠕虫的区别在于其“智能”的暴力破解方式：它会检查提示（prompt），并根据提示选择适当的凭据。这种方法大大加快了暴力破解过程，因为它不需要浏览大量的凭据列表。

然后RapperBot确定处理器架构并感染设备。实际的恶意软件下载是通过各种可能的命令（例如wget、curl、tftp和ftpget）完成的。如果由于某种原因这些方法不起作用，那么恶意软件下载程序就会通过shell“echo”命令上传到设备上。

Rhadamanthys：网站和搜索引擎上的恶意广告

Rhadamanthys是一种新型信息窃取工具，于2022年9月首次在一个俄语网络犯罪论坛上发布，并作为恶意软件即服务（MaaS）平台提供。根据创建者的说法，该恶意软件：

• 是用C/ C++编写的，而C2是用Golang编写的；

• 能够实现“隐形”感染；

• 能够窃取/收集CPU类型、屏幕分辨率、支持的钱包等信息；

• 能够逃避EDR / AV检测；

• 与C2进行加密通信。

尽管该恶意软件早在2022年9月就已经发布了营销广告，但研究人员在2023年初才检测到第一批样本。虽然Rhadamanthys最初使用网络钓鱼和垃圾邮件作为感染媒介，但最近的方法是恶意广告。

在线广告平台为广告商提供了竞价的可能性，以便在谷歌等搜索引擎、网站、移动应用程序上展示简短的广告。Rhadamanthys利用了搜索引擎和基于网站的广告平台。他们的伎俩是显示代表合法应用程序的广告，但实际上包含钓鱼网站的链接。这些钓鱼网站包含虚假安装程序，引诱用户下载和安装恶意软件。

在分析Rhadamanthys时，研究人员注意到它与Hidden Bee miner有很强的联系。两个示例都使用图像来隐藏有效负载，并且都具有类似的用于引导的shellcode。此外，两者都使用“内存虚拟文件系统”，并利用Lua来加载插件和模块。

【Rhandamanthys的“prepare.bin”和Hidden Bee的“preload”模块比较】

CUEMiner：通过BitTorrent和OneDrive分发

2021年8月，GitHub上启动了一个名为SilentCryptoMiner的项目，托管由下载器和有效载荷、bot源和编译的构建器以及其他软件（如系统监视器）组成的挖矿程序。它一直在不断更新，最近一次更新可以追溯到2022年10月31日。这个存储库很受网络犯罪分子的欢迎，正如研究人员检测到的大量样本所表明的那样，这些样本有许多小的变化，并与不同的url和https结合在一起，这清楚地表明该恶意软件被多个组织以各种方式同时使用。

在调查中，研究人员注意到两种传播恶意软件的方法。第一种是通过BitTorrent下载的木马破解软件。另一种方法是从OneDrive共享网络下载的木马化破解软件。受害者是如何被引诱下载这些破解的软件包的只是猜测，因为我们找不到任何直接联系。然而，如今许多破解网站并不立即提供下载。相反地，他们指向Discord服务器频道进行进一步讨论。这表明某种形式的社会工程。

该下载程序是用.net编写的，名为CUEMiner。尽管是用.net编写的，但它是由一个基于c++的dropper包装的，它连接到一组url，这些url因样本而异，用于下载挖矿程序和配置设置。它还执行一些检查，以确保它在裸机系统（而非虚拟机）上运行。如果所有检查都通过了，该恶意软件将：

• 重新配置Windows Defender以逃避用户配置文件路径和整个系统驱动器扫描；

• 从硬编码的URL获取配置细节并将其保存在不同的位置（例如，c:logs.uce, %localappdata%logs.uce）；

• 在%ProgramData%HostData中创建空文件和子目录，使目录看起来是良性的；

• 下载挖矿程序和监视器。

恶意软件防御建议

要防范恶意软件入侵，需要用户在使用计算机的过程中加强安全防范意识，利用掌握的计算机知识，尽可能多地消除系统安全隐患，力求将恶意软件阻隔在系统之外。通常，我们可以采取以下措施来防范恶意软件的入侵：

1. 加强系统安全设置

• 及时更新系统补丁和杀毒软件：有一些恶意软件是非常善于利用系统漏洞的，及时更新系统补丁有利于降低感染恶意软件的风险；

• 严格账号管理：停用guest账号，把administrator账号改名。删除所有的duplicate user账号、测试账号、共享账号等。不同的用户组设置不同的权限，严格限制具有管理员权限的用户数量，确保不存在密码为空的账号；

• 关闭不必要的服务和端口：禁用一些不需要的或者存在安全隐患的服务。如果不是应用所需，请关闭：远程协助、远程桌面、远程注册表、Telnet等服务。

2. 养成良好的电脑使用习惯

• 不要安装不明来源的软件：大多数的恶意软件是需要用户下载并安装的，当然这种过程有时候是很隐蔽的。它们往往附着在一些常见软件里面，随其一起安装；

• 正确使用电子邮件、通讯软件：电子邮件是恶意软件传播最原始和最常见的方式。不打开来源不明邮件中的链接或下载邮件中的附件。养成谨慎的习惯，特别是遇到陌生人发的链接或附件时；

• 不要随意打开不明网站：很多恶意软件都是通过恶意网站进行传播的。当用户使用浏览器打开这些恶意网站，系统会自动从后台下载这些恶意软件，并在用户不知情的情况下安装到用户的电脑中。因此，上网时不要随意打开一些不明网站，尽量访问主流熟悉的站点；

• 安装软件时要“细看慢点”：很多捆绑了恶意软件的安装程序都有一些说明，需要在安装时注意加以选择，不能“下一步”到底；

• 禁用或限制使用Java程序及ActiveX控件：恶意软件经常使用Java、Java Applet、 ActiveX 编写的脚本获取你的用户标识、IP地址、口令等信息，甚至会在你的机器上安装某些程序或进行其他操作，因此应对Java、Java小程序脚本、ActiveX控件和插件的使用进行限制。

感染恶意软件后，电脑通常会出现运行速度变慢、浏览器异常、系统混乱甚至系统崩溃等问题。因此尽早掌握恶意软件的清除方法，对于广大计算机使用者来说是十分必要的。

手工清除

如果发觉自己的计算机感染了少量恶意软件，可以尝试用手工方法将其清除。具体方法如下：

• 重启计算机，开机按 F8 键，选择进入安全模式；

• 删除浏览器的Internet临时文件、Cookies、历史记录和系统临时文件；

• 在“控制面板”→“添加或删除程序”中查找恶意软件，如果存在将其卸载。找到恶意软件的安装目录，将其连同其中的文件一并删除；

• 在“运行”中输入“regedit”，进入注册表编辑器，在注册表中查找是否存在含有恶意软件的项、值或数据，如果存在，将其删除。

以上四步完成以后，重启计算机进入正常模式，通常恶意软件即可被清除。

借助专业清除软件

随着恶意软件技术越来越高，使用手工的方法已很难彻底清除它们，不妨借助一些专业的软件来帮忙。目前，互联网上可供查杀恶意软件的工具有很多，您可以按照自身需求选择。需要注意的一点是，最好在安全模式下运行这些清除软件，这样查杀更为彻底。

参考链接：

https://securelist.com/uncommon-infection-and-malware-propagation-methods/107640/

https://securelist.com/crimeware-report-uncommon-infection-methods-2/109522/

---

精彩推荐

原文始发于微信公众号（FreeBuf）：揭秘恶意软件的罕见感染方式