时间:2020-09-02 21:40:26来源:Win10专业版官网点击量:N次
9月2日晚间消息:今年早些时候,BleepingComputer报告了黑客将恶意软件隐藏在假Windows错误日志中的情况。
获得对Windows系统的访问权并实现持久性后,该恶意软件将从假冒事件日志的“ .chk”文件中读取。
右侧的明显十六进制字符实际上是十进制字符,用于通过恶意预定任务来构造编码的有效负载。
有关此复杂恶意软件及其执行的其他一些危险任务的更多信息已经出现。
Windows伪造的错误日志,其中包含恶意软件使用的有效负载
通过HTTPS的Google DNS
在重新访问该恶意软件样本时,MSP威胁检测提供商Huntress Labs的研究人员注意到他们之前分析过的PowerShell代码中有一个可疑URL:
https://dns.google.com/resolve?name=dmarc.jqueryupdatejs.com&type=txt
可疑域“ jqueryupdatejs.com”立即引起了Huntress Labs高级安全研究员John Hammond的注意。
当使用Google DNS解析可疑域时,通过Google DNS返回的响应包含经过加密的恶意有效负载,已通过BleepingComputer验证:
Google DNS响应,其中的“数据”字段包含恶意有效负载
来源:BleepingComputer
Hammond为BleepingComputer提供了一些其他见解:
“通过HTTPS请求DNS记录的这种技术虽然并不新颖,但是却非常聪明。通常,公司网络中都设有DNS过滤功能,以阻止对恶意网站的访问……但可以阻止对https:// google的网络访问。 com,通过安全的HTTPS连接?这是闻所未闻的。”
Hammond指出,尽管HTTPS上的DNS变得越来越流行,但它并非特定于恶意软件,并且具有合法的用例。
“ HTTPS(DoH)上的DNS在安全性与隐私性之间的对话中变得越来越普遍。这不是一种专门针对恶意软件的技术,它在现实世界中有其自己的正常用例。正因为如此之多,在其他通信和渗透技术的防御性保护下,DoH正在成为攻击者更可行的选择。”
“使用外部服务器甚至是动态DNS条目,都可以使黑客完全自定义和控制攻击,从而使黑客受益。如果他们需要交换恶意有效负载或调整用于分类的服务器,则无需依赖即可他们与受害者的接触。”
不是DKIM签名。这些是C&C IP!
随意来看,由Google DNS查询返回的“数据”字段值看起来像是DKIM签名,但这是攻击者采用的另一种欺骗手段。
此值似乎是base64编码的字符串,但有一个警告。尝试使用base64解码器一次解码整个字符串会产生乱码。
这是因为“ /”字符用作分隔符(很像一个空格),并且不是有效载荷的一部分。
当分别解码每个用“ /”分隔的值时,Hammond再次获得了不同的base64值。第二次解码这些显示大量:
1484238688
1484238687
238837
2388371974
2388372143
这些不过是有效IP地址的十进制表示形式。例如,在Web浏览器地址栏中键入1484238687/会解析为http://88.119.175.95/(我们不建议您尝试这样做)。
原始有效负载将随机选择这些IP地址中的任何一个,以下载下一阶段的有效负载。
看起来无害的DNS查找查询为攻击者提供了灵活性,使命令和控制(C&C)基础结构动态化。他们可以通过简单地更新DNS响应来随意更改C&C服务器IP列表。
“请记住,攻击者可以灵活控制这最后几个有效负载-jqueryupdatejs.com域,并且TXT条目是外部的,可以轻松更新或更改,第三方恶意软件服务器可以移入或移出轮换,而且可以随时自定义最终检索到的有效载荷。” Huntress Labs的博客文章中写道。
聪明,回避的恶意软件
除了用于“隐藏”的所有混淆技术之外,该恶意软件还将其某些可执行文件重命名为合法的活动Windows进程,以进一步逃避检测。
Hammond告诉BleepingComputer:“这种恶意软件中存在的大量混淆现象确实令人震惊,但从进攻角度来看,也是天才。使用这些本机二进制文件可确保允许执行这些程序并掩盖有效载荷层层的复杂性可以帮助它在雷达下溜走。这些技术使“旧恶意软件”看起来有所不同。典型的脱机防病毒产品可能对此一无所知。”
随着此类交易工具变得越来越普遍,Hammond建议必须进行手动调查,而不是仅仅依靠自动化安全控制。
“我们通过自己的手动分析发现了这种恶意软件。显然,拥有一个自动的,始终在线的防病毒和端点保护套件可带来令人难以置信的好处……但这缺乏人类所拥有的环境。必须进行手动调查,”他说。
Huntress Labs在其博客文章中分享了有关此恶意软件样本的详细发现。