Securonix研究人员发现,未知的攻击者正试图欺骗Windows用户,使用预配置后门启动自定义Linux虚拟机(VM)。
竞选活动
他们认为,攻击始于一封网络钓鱼电子邮件,但他们无法确定预期受害者。
这封电子邮件包含一个指向一个异常大的ZIP文件(285 MB)的链接,其名称——OneAmerica Survey.zip——指向了可能的诱惑:OneAmerica Financial是一家提供金融服务的美国公司进行的调查。
研究人员解释说:“当用户提取存档时,他们会看到一个文件(快捷方式)’OneAmerica Survey’和一个包含整个QEMU安装目录的’数据’目录。”
如果用户单击快捷方式文件,则启动一个过程,其中:
- ZIP文件被“解压缩”,其内容被放入用户的个人资料目录中,进入一个名为“datax”的目录中
- 执行批处理(BAT)文件,它显示一个开窍图像,表示存在“内部服务器错误”,而在后台,执行(重命名的)QEMU进程和命令行,以启动模拟的Tiny Core Linux环境
定制的Linux VM旨在通过启动SSH连接来在主机上创建交互式外壳(本质上是后门),攻击者可以通过该连接:
- 下载额外的恶意有效负载
- 在机器上安装其他工具
- 重命名文件
- 修改系统配置
- 通过系统和用户枚举进行基本侦察
- 过滤数据
“就像下棋一样,攻击者在准备他们的环境时考虑到了战略。他们系统地安装、测试和执行多个有效载荷和配置,每个都为下一阶段做准备,”研究人员指出。
“使用bootlocal.sh和SSH键表明它们的目标是在机器上可靠地存在。他们有几次从各种URL下载crondx文件——预配置的Chisel客户端。原因不明,但我们推测,他们可能一直在修改有效载荷,直到它按预期运行。”
龈龈图像(来源:Securonix)
Chisel客户端经过预配置,因此它通过websockets自动连接到指定的命令和控制(C2)服务器,从而打开一个持久的后门,攻击者可以通过该后门访问被破坏的环境。
逃避检测
传统的防病毒解决方案通常不能(或默认情况下不扫描)非常大的文件,它们也无法查看模拟Linux环境中发生的事情。
研究人员补充说:“Chisel的设计使其在通过防火墙创建隐蔽通信通道和隧道方面特别有效,这些通道通常在网络监控工具的雷达下。”
“攻击者对QEMU和Chisel等合法软件的依赖增加了一层额外的规避,因为这些工具在许多环境中不太可能触发警报。”
Securonix共享了与此活动相关的妥协指标,并建议组织监控常见的恶意软件暂存目录,监控从不寻常位置执行的合法软件实例,使用强大的端点日志来帮助检测PowerShell。
来源:helpnetsecurity
暂无评论内容