G DATA CyberDefense最近进行的一项分析发现了一个针对巴西实体的复杂恶意软件感染链,该感染链使用了混淆的 .NET 加载程序和高级持久性技术。该恶意软件与 BBTok 银行木马有关,采用多阶段方法,首先通过电子邮件发送 ISO 映像,伪装成巴西常用的数字发票。
感染链始于附加到钓鱼电子邮件的恶意 ISO 映像,伪装成合法的数字发票“ D ocumento A uxiliar da N ota F iscal E lectronica”(DANFE)。一旦受害者打开 ISO,感染就会通过伪装成 PDF 图标的 Windows 快捷方式文件 (LNK) 启动,诱使用户执行恶意负载。
这次攻击的独特之处在于使用了 Microsoft Build Engine (MSBuild.exe),这是一种合法的 Windows 工具,可直接在受感染的计算机上编译恶意 C# 代码。该恶意软件从嵌入的 C# 代码编译一个名为 Trammy.dll 的 .NET DLL,然后执行该 DLL 以保持持久性并继续感染过程。这种方法允许恶意软件逃避传统安全工具的检测,因为恶意负载是在受害者的系统上动态生成和执行的。
该恶意软件进一步利用了一种称为 AppDomain Manager 注入的技术,其中 Trammy.dll 注册为 AppDomain Manager。这使它可以在新的 AppDomain 初始化期间执行恶意代码,从而使攻击者能够更好地控制受感染的环境。这种高级执行方法在常见恶意软件中很少见,凸显了攻击的复杂性。
.NET 加载程序 Trammy.dll 使用 ConfuserEx 的变体进行混淆,这使得传统的反混淆工具很难检索编码的字符串。G DATA 研究人员使用功能强大的 .NET 库 dnlib 以及自定义 PowerShell 脚本成功反混淆了恶意软件的字符串。通过分析反编译的代码,该团队能够识别几个关键函数并绘制出完整的感染链。
此次活动背后的恶意软件家族 BBTok 曾以拉丁美洲国家(尤其是巴西)为目标。攻击者已将恶意软件定制为仅在受害者的 IP 地址位于巴西时执行,这进一步增加了全球安全系统的检测难度。这种地理围栏技术可确保恶意软件主要在目标区域内运行,从而最大限度地减少在非目标区域的暴露。
该恶意软件还包含多种持久性机制,例如创建互斥锁以防止重新执行,以及设置允许恶意软件在系统重启后继续运行的服务。此外,该恶意软件还会尝试禁用 Windows Defender 和其他安全工具,以确保其能够不受干扰地运行。
感染链中一个有趣的部分是使用合法代理服务器应用程序 CCProxy。恶意软件提取并配置 CCProxy,以促进受感染机器与命令和控制 (C2) 服务器之间的通信。通过伪装成合法的网络进程,恶意软件可以窃取数据并接收来自攻击者的命令而不会引起怀疑。
建议各组织实施严格的电子邮件过滤以阻止恶意 ISO 文件,定期更新其软件以修补已知漏洞,并部署可以检测和应对此类动态恶意软件威胁的高级端点保护。
此外,企业应教育员工了解钓鱼电子邮件的危险以及从不受信任的来源下载文件的风险。使用多因素身份验证 (MFA) 和定期安全审核也有助于减轻 BBTok 等高级银行木马带来的风险。
原文始发于微信公众号(Ots安全):.NET 加载程序和隐蔽持久性:BBTok 木马的新技巧
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论