新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

admin 2025年4月7日00:57:54评论4 views字数 1564阅读5分12秒阅读模式
新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

关键词

恶意软件

新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

网络安全研究人员发现,一款名为 Hijack Loader 的恶意软件更新了其功能,采用了调用栈欺骗技术、GitHub 命令与控制(C2)以及 .NET Reactor 加固技术,以提升隐蔽性并在受感染系统上实现持久化。

据 Zscaler ThreatLabz 的研究员 Muhammed Irfan V A 分析,最新模块利用调用栈欺骗技术隐藏 API 及系统调用的真实来源,“该技术通过一系列 EBP 指针遍历调用栈,将实际的堆栈帧替换为伪造的帧,从而掩盖恶意调用的痕迹。”此外,新版本还加入了反虚拟机模块,用于检测沙箱和恶意分析环境。

最早于 2023 年被发现的 Hijack Loader,支持下达第二阶段的恶意负载(如信息窃取器),同时集成了多种绕过安全软件和注入恶意代码的模块。该工具也被业界称为 DOILoader、GHOSTPULSE、IDAT Loader 或 SHADOWLADDER。

新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

2024 年 10 月,HarfangLab 与 Elastic Security Labs 分析了 Hijack Loader 的攻击活动,该系列攻击利用了合法的代码签名证书和“ClickFix”分发策略。新版加载器相比之前有诸多改进,最突出的是利用调用栈欺骗技术来掩盖 API 和系统调用的真正来源,这一手法最近也被另一款恶意软件 CoffeeLoader 采用。

与之类似,Hijack Loader 仍然利用 Heaven’s Gate 技术来执行 64 位系统调用,从而实现进程注入。同时,其黑名单中新增了“avastsvc.exe”(Avast 杀毒服务)的进程,并在启动时延迟 5 秒钟,以进一步迷惑安全防护措施。

新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

此外,Hijack Loader 新增了两项功能模块:一是 ANTIVM 模块用于检测虚拟机环境,二是 modTask 模块通过计划任务建立持久性。

与此同时,Elastic Security Labs 还披露了一个名为 SHELBY 的恶意软件家族,其利用 GitHub 作为命令与控制、数据外传和远程控制的平台。该攻击链始于一封针对伊拉克一家电信公司的定向钓鱼邮件,邮件附件中包含了一个 .NET 二进制文件,该文件通过 DLL 侧加载技术执行一个名为 SHELBYLOADER 的载荷(“HTTPService.dll”)。

载荷启动后,会与 GitHub 进行通信,从攻击者控制的仓库中提取一个特定的 48 字节数值,用以生成 AES 解密密钥,从而解密并在内存中加载主后门程序(“HTTPApi.dll”),且不在磁盘上留下明显痕迹。Elastic 指出,SHELBYLOADER 同时运用沙箱检测技术,识别虚拟化或监控环境,并将检测结果作为日志返回给 C2。后门程序 SHELBYC2 则会解析存放在“Command.txt”文件中的指令,执行文件上传下载、反射式加载 .NET 二进制代码以及 PowerShell 命令。值得注意的是,其 C2 通信通过使用嵌入在二进制文件中的个人访问令牌(PAT)向私有仓库提交 commit 实现,这也意味着任何拥有该 PAT 的人理论上都可获取攻击者下发的指令以及受感染机器的命令输出。

新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

此外,近期还发现一种以“Emmenhtal Loader”(又名 PEAKLIGHT)命名的恶意软件,通过支付主题的钓鱼邮件分发,用于传递另一款恶意软件 SmokeLoader。GDATA 指出,该 SmokeLoader 样本采用了 .NET Reactor——一款商用 .NET 加固工具用于混淆和打包,其反分析能力与 Themida、Enigma Protector 以及自定义加密工具不相上下。这表明,恶意软件家族(尤其是窃密型和加载器类)正在逐步采用 .NET Reactor 等商业工具来提高隐蔽性和防分析能力。

  END  

原文始发于微信公众号(安全圈):【安全圈】新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月7日00:57:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型恶意软件加载器采用调用栈欺骗、GitHub C2 与.NET Reactor实现隐蔽攻击http://cn-sec.com/archives/3913494.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息