网络安全研究人员近日揭示了一种新型的基于Go语言的后门程序,该后门利用Telegram作为命令与控制(C2)通信的机制。Netskope威胁实验室详细分析了该恶意软件的功能,并指出其可能源自俄罗斯。
后门功能与运行机制
安全研究员Leandro Fróes在上周发布的分析报告中表示:“该恶意软件使用Go语言编译,一旦执行就会表现为后门程序。尽管它似乎仍在开发阶段,但已经完全具备了功能。”
后门程序启动后,会检查是否在特定路径下以特定名称“C:\Windows\Temp\svchost.exe”运行。如果不是,它会读取自身内容并将其写入该路径,然后创建一个新进程来启动复制版本并终止自身。
利用Telegram Bot API进行隐蔽通信
该恶意软件的一个显著特点是使用了开源的Go语言绑定库,通过Telegram Bot API实现命令与控制通信。具体而言,它会与Telegram Bot API交互,接收来自攻击者控制聊天的命令。目前支持四种不同的命令,尽管只有三个已经实现:
- /cmd:通过PowerShell执行命令。
- /persist:在“C:\Windows\Temp\svchost.exe”路径下重新启动自身。
- /screenshot:未实现。
- /selfdestruct:删除“C:\Windows\Temp\svchost.exe”文件并终止自身。
这些命令的执行结果会被发送回Telegram频道。Netskope指出,尽管“/screenshot”命令尚未完全开发,但会发送“Screenshot captured”的消息。
俄罗斯背景与攻击者策略
恶意软件的俄罗斯背景可以从“/cmd”指令向聊天发送俄语消息“Enter the command:”中得到佐证。
Fróes补充道:“云应用的使用为防御者带来了复杂的挑战,攻击者也意识到了这一点。其他方面,如设置和启动应用的便捷性,是攻击者在攻击的不同阶段使用此类应用程序的原因之一。”
通过这种新颖的通信方式,攻击者能够更隐蔽地进行远程控制,同时也凸显了云服务在网络安全领域带来的新挑战。
参考来源:
New Golang-Based Backdoor Uses Telegram Bot API for Evasive C2 Operations
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
