不常见的恶意软件感染和传播方法

我们经常被问到目标是如何感染恶意软件的。我们的答案几乎总是一样的：（鱼叉式）网络钓鱼。

自然会有例外，因为我们时不时会遇到 RCE 漏洞，或者如果攻击者已经在网络上，他们会使用 PsExec 等工具。但就是这样大多数时候，无论如何。

上个月，我们专注于各种恶意软件活动中使用的感染方法：我们不经常使用的方法。

在这篇博文中，我们提供了这些报告的摘录。

BlackBasta：一种新的传播方法

BlackBasta，我们之前写过的臭名昭著的勒索软件，最近收到了更新。它现在有第二个可选的命令行参数：“-bomb”。

当使用该参数时，恶意软件会执行以下操作：

1. 使用 LDAP 库连接到 AD 并获取网络上的机器列表，

2. 使用机器列表，将自身复制到每台机器，

3. 使用组件对象模型 (COM)，在每台机器上远程运行。

显示 LDAP 功能的代码片段

使用内置传播方法的好处是它在系统中留下的痕迹更少，并且比使用公共工具更隐蔽。例如，攻击者最喜欢的工具之一 PsExec 很容易在网络上被检测到。新方法使网络防御者检测恶意活动的可能性降低。

CLoader：通过恶意种子感染

网络犯罪分子很少使用恶意种子来感染他们的目标。然而，它是一种不应该被排除的感染方法，正如 CLoader 所证明的那样。

CLoader 于 2022 年 4 月被发现。它使用破解的游戏和软件作为诱饵，诱骗用户安装恶意软件。下载的文件是 NSIS 安装程序，在安装脚本中包含恶意代码。

恶意脚本：红色部分为恶意软件下载代码

总的来说，我们观察到下载了六种不同的有效载荷：

• Microleaves 恶意代理：在受感染机器上充当代理；

• Paybiz 恶意代理：在受感染机器上充当代理；

• MediaCapital 下载器：可能会在系统中安装更多恶意软件；

• CSDI 下载器：可能会在系统中安装更多恶意软件；

• Hostwin64 下载器：可能会在系统中安装更多恶意软件；

• Inlog 后门：安装合法的 NetSupport 应用程序以远程访问机器。

当我们查看受害者学时，我们看到世界各地的用户都被感染了，但主要是在美国、巴西和印度。

OnionPoison：通过伪造的 TOR 浏览器感染

2022 年 8 月，我们发现了一个至少从 1 月开始运行的活动，主要针对说中文的用户。一个受欢迎的在线匿名 YouTube 中文频道发布了一段视频，其中包含安装 Tor 浏览器的说明。这本身并不奇怪，因为 Tor 浏览器在中国被封锁。但是，如果用户单击描述中的链接，则会下载 Tor 浏览器的受感染版本。

受感染的版本与原始版本几乎相同，因此用户不会注意到任何差异。与良性版本的区别在于：

• 安装程序缺少数字签名；

• 原始版本 (freebl3.dll) 附带的其中一个 DLL 完全不同，因为它包含后门代码；

• 包含一个新文件（freebl.dll），与原来的freebl3.dll相同；

• 与 TOR 捆绑在一起的 Firefox 二进制文件与原始文件相差一个字节，即用于更新的 URL 中的一个字符。通过这种方式，攻击者可以阻止浏览器自我更新；

• 浏览器配置文件已更改以提供更少的匿名性。例如，浏览历史现在存储在磁盘上。

后门 Freebl3.dll 的功能非常简单。它代理原始 DLL 的所有功能，并从 C2 下载附加 DLL。

下载的 DLL 包含大部分恶意功能。除其他外，它能够：

• 在系统中执行命令，

• 将 TOR 浏览历史记录发送到 C2，

• 将受害者的微信和QQ账号ID发送给C2。

AdvancedIPSpyware：后门和签名的良性工具

将恶意代码添加到良性软件以隐藏非法活动并欺骗用户是我们经常遇到的一种技术。我们经常看不到被签名的后门二进制文件。AdvancedIPSpyware 就是这种情况，它是网络管理员用来控制 LAN 的合法 Advanced IP Scanner 工具的后门版本。用于签署恶意软件的证书很可能被盗。

该恶意软件托管在两个站点上，其域与合法的 Advanced IP Scanner 网站几乎相同，仅 URL 中的一个字符不同。此外，这些网站看起来都一样。唯一的区别是恶意网站上的“免费下载”按钮。

合法与恶意签名的二进制文件

AdvancedIPSpyware 的另一个不常见的特性是它的模块化架构。通常，模块化架构是由国家赞助的，而不是犯罪恶意软件。我们观察到以下三个通过 IPC 相互通信的模块：

• 主模块：更新或删除自身，或产生另一个实例，

• 命令执行模块：典型的间谍软件功能，例如信息收集、命令执行等，

• 网络通信模块：处理所有与网络相关的功能（心跳消息等）。

AdvancedIPSpyware 活动具有广泛的受害者特征。我们在拉丁美洲、非洲、西欧、南亚、澳大利亚和独联体发现了几名受害者。在竞选过程中感染的受害者总数约为 80 人。

即使恶意行为者将电子邮件作为主要感染媒介，也不应排除其他方法。域名抢注和可通过种子下载的破解软件只是犯罪分子用来引诱受害者在其系统上安装恶意软件的两种替代技巧。

勒索软件开发人员不断更新他们的恶意软件。这一次，BlackBasta 添加了使取证和检测更加困难的功能，因为恶意软件现在可以通过网络本身传播。

原文始发于微信公众号（网络研究院）：不常见的恶意软件感染和传播方法