扫码领资料

获网安教程

来Track安全社区投稿~  

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

PeakLight恶意软件

在过去几个月中，PeakLight恶意软件因其通过CDN链接（内容交付网络）进行的激烈感染活动而备受关注。这种活动负责诱使用户执行编码的命令行或通过伪造的验证码和/或验证门户执行恶意工件。

img

它旨在通过不同的持久性和规避保护与检测的技术，例如通过 LOLBINS 的 间接执行 和 多阶段感染链，窃取信息并控制受感染的计算机。同时，它利用具有全局权限的目录来便于恶意软件的部署。由于其模块化特性，它既使用合法工件（由合法公司生成的不同软件），也使用负责完成感染过程的恶意工件。

感染链

根据各种情报来源，初始感染点是通过互联网上不同页面存在的广告和弹出窗口进行的，这些广告和弹出窗口会重定向到一个域名为 .b-cdn.net/ 的网站，该网站包含一个验证验证码，指示用户在系统上打开 Run 并粘贴一个值。

img

上述字符串在通过 document.execCommand() 函数点击检查按钮时会自动复制到剪贴板，脚本指定要复制的值将是一个 Base64 编码的 Powershell 命令，该命令执行 Mshta.exe “”。

img

为了使感染链继续，受害者必须手动执行这些步骤，以正确生成部署工件的条件。这可以通过具有 Explorer.exe 父进程的 Powershell.exe 执行来识别。

例如，这种执行被记录为事件 ID 1 (进程创建)，指示了上述参数。

img

因此，可以看出，PowerShell 行 中包含的 Payload 对应于 Mshta.exe 命令行，该命令通过 mshta.exe 执行 “clicktogo[*]click/Downloads/tra3” 的 间接执行。

img

img

tra3 生成的内容对应于一个经过压缩的 JavaScript 文件，该文件经过双重混淆，混淆方式是通过变量位置替换值。

img

一旦第一阶段被解混淆，就会观察到调用不同函数，这些函数负责通过 ActiveXObject 函数（用于创建 COM 对象的函数）执行第二次解混淆过程的结果，该结果包含在 Bin 变量中。

img

在第二阶段之后，可以看到解混淆的脚本，它创建了 WScript.Shell 对象，以使用包含通过 AES 协议加密的 Powershell 脚本的 Bin.Run 执行系统命令行。

img

该执行会与 clicktogo[*]click/Downloads/tar3.zip URL 建立网络连接（此 URL 是在解密和解混淆 Powershell 命令行后获得的）。

img

该过程负责下载并在系统上建立攻击者在攻击链中使用的各种工具。

img

img

生成的工具之一是 Setup.exe，它在执行加密的 PowerShell 时会自动运行，进而生成 more.com 进程和 conhost.exe 线程。

img

More.com 进程会在 Setup.exe 进程结束后大约 15 秒生成另一个名为 RewardFlaccid.a3x 的进程。

img

一旦 RewardFlaccid.a3x 生成的网络活动结束，该进程就会被终止，感染链也随之结束，所有恶意工具已在受害者的计算机上部署完成。

感染链

根据所做的分析，感染过程可以总结为 4 个阶段（图 3.1）：

img

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。