新型后门程序利用polyglot文件传播 | CSO Online

2025-03-05 18 0

Proofpoint报告指出,威胁行为者已将该手法用于针对阿联酋关键基础设施企业的攻击,并警告各地CISO需警惕其扩散。

新型后门程序利用polyglot文件传播 | CSO Online插图

图片来源:enzozo / Shutterstock

某威胁行为者正在使用polyglot文件隐藏新型后门程序的安装,这是针对阿联酋企业,特别是航空、卫星通信和交通行业的鱼叉式钓鱼攻击的一部分。

Proofpoint的研究人员在PwC威胁情报团队的协助下发现了这一后门程序,并将其命名为Sosano。

该攻击目前可能仅限于阿联酋,但各地的CISO都应提高警惕,因为这种手法和后门程序可能扩散到其他地区。

防御者还应关注此次攻击的两个特点:

  1. 攻击者首先入侵了一家印度电子公司的邮箱,然后利用该邮箱发送含有恶意链接的邮件;
  2. 链接指向一个ZIP文件,其中包含用于混淆负载内容的多语文件。

polyglot文件的使用与隐蔽性

Proofpoint表示,威胁行为者使用polyglot文件的行为“相对不常见于以间谍活动为动机的攻击者”。polyglot文件是通过精心构建数据,使不同解析器对同一文件产生不同解释,通常利用特定格式的缺陷或重叠头文件来实现。

恶意软件活动中使用多语文件的一个例子是Emmenhtal加载器,Proofpoint称其经常出现在网络犯罪攻击链中,用于传递信息窃取程序或远程访问木马(RAT)。

Beauceron Security公司的首席执行官David Shipley表示:“这份报告显示,攻击者在目标选择和社交工程引诱方面具有高度复杂性,同时在使用多语文件方面也表现出同等的技术水准。”他强调:“这说明攻击者与防御者之间的博弈仅受限于攻击者的创造力和时间投入,同时也突显了技术控制和积极安全文化的持久重要性,这种文化能激励人们发现、阻止并报告威胁。”

Shipley指出,威胁行为者不广泛使用多语文件的一个原因是“简单的方法通常就足够有效,无需对大多数目标采用如此复杂的手段。”

Proofpoint尚未确认此次攻击的威胁行为者身份,但指出:“接收者在收到邮件后,高针对性极强的引诱手段,以及多次尝试混淆恶意软件的行为,表明攻击者目标明确。”

攻击的起源

2024年10月下旬,一名或多名攻击者入侵了印度电子公司INDIC Electronics的邮箱账户。利用这一访问权限,该团伙向Proofpoint在阿联酋的五家关键基础设施企业客户发送了邮件。

Proofpoint在回应查询时表示,邮件“利用了被入侵发件人与目标之间的信任关系,采用了企业对企业销售的引诱手段”,包括订单表格和公司背景介绍。邮件中还包含以[.]com结尾的URL,这些链接看似指向合法的INDIC Electronics主页,但实际上指向一个名为“indicelectronics[.]net”的虚假域名,其中包含一个ZIP压缩包,内有一个XLS文件(Excel电子表格)和两个PDF文件。

即使是对邮件持怀疑态度的收件人,也可能被迷惑,甚至某些防御软件也会上当。然而,所谓的XLS文件实际上是一个使用双重扩展名的LNK文件(filename[.]xls[.]lnk),而两个PDF文件均为多语文件。其中一个附加了HTA(HTML应用程序),而另一个则附加了ZIP压缩包。

报告称,LNK文件启动cmd[.]exe,然后使用mshta[.]exe执行PDF/HTA polyglot文件。mshta[.]exe进程会扫描文件,跳过PDF部分,直到找到HTA头文件,并从此处开始执行内容。HTA脚本充当协调器,包含指令让cmd[.]exe从第二个PDF文件中提取可执行文件和URL文件。最终,一个可执行文件会寻找隐藏在ZIP文件中的Sosano后门。

Sosano后门的特点

Sosano后门是一个用Golang编写的DLL文件。报告提到,尽管它是一个大型可执行文件(12MB),但其恶意代码量较少,功能有限。执行恶意软件时,部分字符串会通过反混淆功能加载到内存中。

程序首先会随机休眠一段时间,使用当前系统时间作为伪随机数生成器的种子。这种休眠机制有助于恶意软件在自动化分析沙箱和终端防御中逃避检测。休眠后,恶意软件会尝试连接其命令与控制服务器以获取进一步指令。

检测机会

报告指出,恶意软件感染链中存在多种检测机会,例如:

  1. 从最近创建或解压的目录中执行LNK文件;
  2. URL文件出现在注册表运行项中;
  3. URL文件启动除浏览器之外的任何文件;
  4. 可执行文件从用户目录访问JPG文件。

CISO和CIO可以从此次攻击中吸取的教训之一是,必须保护企业域名不被伪造。

参考来源:

Polyglot files used to spread new backdoor

相关文章:

  1. 如何让CISO巧妙说服董事会支持IAM投资?| CSO Online
  2. 黑客利用图片隐藏恶意软件,传播VIP键盘记录器和0bj3ctivity信息窃取器
  3. 新威胁组织GamaCopy模仿俄罗斯Gamaredon APT,针对俄语目标发起攻击
  4. 记一次windows联合排查工程
  5. 信息安全管 | 企业端点与主机安全

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

4A测评
网络安全
0 0

相关文章

恶意软件伪装成合法 Go 库感染Linux和macOS用户 | CSO Online
PWN栈溢出基础-ret2csu
【验证码逆向专栏】某盾 v2 滑动验证码逆向分析
探秘条件漏洞:系统安全的潜在隐患
记录某SRC邀请处逻辑越权到组织管理员漏洞
DNSTwist 使用指南

发布评论