近期，安天CERT监测到匿影僵尸网络正在利用软件下载站“微当下载”进行传播，目前我国已有近两千台设备受其感染。

具体ATT&CK技术行为描述表：

表2‑1 ATT&CK技术行为描述表

为有效防御此类恶意代码，提升安全防护水平，安天建议企业采取如下防护措施：

3.1 提升主机安全防护能力

（1）安装终端防护系统：安装反病毒软件，建议安装安天智甲终端防御系统；

3.2 提高网络安全防护意识

3.3 遭受攻击及时发起应急响应

4.1 攻击流程图

图4‑1 攻击流程图

4.2 具体攻击流程

5.1 样本标签

5.2  详细分析

样本运行后从资源节读取并释放C:\Windows\nssm.exe（一款名为NSSM的第三方系统服务管理工具），还会启动正常的DirectX修复工具作为伪装。

使用释放的NSSM工具创建服务项“nssmsevr”，服务的功能为调用PowerShell下载并执行后续载荷。

目前，该链接会重定向到http://win.yearidper.com/per.txt，其中包含的代码经过多层混淆编码处理，功能为从服务器下载两个伪装为图片的恶意载荷。

base64.jpg实际上是一个dll文件，被powershell.jpg（伪装成图片的开源PE文件加载器）加载到PowerShell或其他进程中执行。

加载后会依次尝试创建svchost.exe、cmd.exe、mmc.exe、ctfmon.exe、rekeywiz.exe等多个进程并镂空注入后续攻击载荷。

注入的攻击载荷主要功能为横向传播，除了使用内部嵌入的多个用于漏洞扫描、口令爆破的脚本外，还会下载其它攻击脚本并执行。

部分攻击脚本会释放到用户公用路径下。

入侵系统后会植入一个名为shell的计划任务，每隔一段时间调用PowerShell下载并执行http://shell.comenbove.com的内容。

2022年3·15晚会曝光了软件下载网站强制弹出、捆绑安装、诱骗下载等乱象^[2]，众多涉及到的下载站立即下架了原有的“高速下载”等功能，但这并不代表整改之后下载站上的资源都是绿色健康的。例如在本次攻击活动中，匿影僵尸网络伪装成多个实用软件上传到微当下载站。用户一旦通过搜索引擎检索此类工具，即有可能下载并执行伪装好的恶意代码。用户应时刻保持警惕，建议使用官方网站下载正版软件，如无官方网站建议使用可信来源进行下载，并在下载完成后第一时间采用终端防御系统实施安全性检测，不轻易打开未经安全检测的压缩包文件或运行未经安全检测的可执行程序。

参考资料