网络安全世界是一个瞬息万变的战场——了解敌人的武器和策略是生存的关键。GULoader 是一款恶意软件,因其隐蔽性、适应性和绕过防御的能力而受到网络犯罪分子的青睐,对企业和个人都构成了严重威胁。
GULoader的隐形斗篷
GULoader 恶意软件就像一条数字变色龙。它采用多态代码(不断自我修改)和加密等复杂技术来掩盖其真实性质,从而躲过传统防病毒解决方案的检测。这使得它拥有极强的持久性,能够在防御者毫不知情的情况下在您的网络中站稳脚跟。
恶意 SVG 案例
迈克菲实验室最近的一项研究揭示了GULoader的传播方式——它伪装成一个看似无害的SVG(可缩放矢量图形)文件,通过电子邮件发送。SVG文件通常用于网站上的徽标和图标,因此通常受到信任。
诱饵
一封带有SVG附件的诱人电子邮件会向您发送紧急信息或发票。仔细分析此活动后,我们发现这封垃圾邮件中隐藏着一个名为“dhgle-Skljdf.svg”的木马SVG文件。该文件中嵌入的JavaScript本身就是一个木马程序,在激活文件后会生成一个恶意的zip压缩包。该压缩包源自一个包含base64编码数据的Blob对象,它会在浏览器不知情的情况下潜入系统。
隐藏有效载荷
攻击者利用常用且通常审查较少的文件格式(例如 SVG)来规避专注于阻止可执行文件的传统防御措施。这凸显了对内容感知安全解决方案的需求,这些解决方案能够检查看似无害的文件中的数据。
连锁反应
打开 SVG 会触发一系列事件。恶意代码会创建一个 ZIP 文件,然后创建一个 WSF(Windows 脚本文件),用于启动 PowerShell 命令。
命令与控制
PowerShell 会连接到受感染的域,直接下载 Shellcode 并在合法的 MSBuild 进程中执行。这种“进程挖空”技术允许 GULoader 伪装成受信任的应用程序运行。
变形并扩大其武器库
注入后,GULoader 会检查分析工具,并通过修改 Windows 注册表在系统中建立持久性。下载的 Shellcode 充当加载器,能够获取并启动各种危害更大的恶意软件,从勒索软件到数据窃取木马。
原文始发于微信公众号(TtTeam):SVG 攻击:GULoader 恶意软件如何潜入您的网络
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论