黑客雇佣组织开发出新型的Windows 隐秘后门
编译:奇安信代码卫士团队
卡巴斯基公司的研究员发现了此前未出现过的且由黑客雇佣组织 DeathStalker 开发的 Windows PowerShell 恶意软件 PowerPepper。
DeathStalker (此前被称为 Deceptikons)是一个威胁行动者,至少活跃于2012年,它使用了多种恶意软件和复杂的交付链并常规使用各种技术躲避检测。
该组织的目标牵涉全球各地的组织机构和企业,包括金融公司、律所等,并无特定的动机,因此被归类为网络雇佣军。
DeathStalker 是在2020年被暴露的四个黑客雇佣组织之一,其它的是 BellTrox(也被称为 Dark Basin)、Bahamut 和 CostaRicto。
该新型 PowerPepper 植入是由卡巴斯基在2020年5月发现的,当时研究员研究的是该组织的其它基于 PowerShell 的植入 Powersing。
自发现以来,PowerPepper 都处于不断开发的状态,部署新版本,使交付链适用于新目标。
这种新型恶意软件是基于 Windows PowerShell 的内存后门,可导致其操纵者通过命令服务服务器执行远程交付的 shell 命令。其能力包括多种反检测技术如 “鼠标移动检测、客户端的 MAC 地址过滤、Excel 应用处理和反病毒产品库存。”该恶意软件以鱼叉式钓鱼邮件恶意附件或指向包含恶意 VBA 宏的文档链接的方式交付到目标的计算机中,执行 PowerPepper 并在受感染系统上获得持久性。
卡巴斯基实验室的研究员 Pierre Delcher 解释称,“该感染链在2020年7月份和11月份的版本存在稍许不同之处:某些会释放文件名称,集成代码或远程链接更改,但逻辑仍然不变。”
基于宏和 LNK 的交付链也具有 DeathStalker 的指纹,部署多种混淆、执行和伪造技术以躲避检测。PowerPepper 交付链的躲避技术包括:
在 Word 嵌入的形状属性中隐藏 payload
使用 Windows Compiled HTML Help (CHM) 文件作为而已文件的存档
伪装和混淆持久性文件
使用隐写术在图像中隐藏 payload
Windows shell 命令翻译
通过已签名的二进制代理执行进行执行
PowerPepper 的特征列表中最引人瞩目的是它通过 DNS over HTTPS (DoH) 信道使用 Cloudflare 响应器和 C2 服务器进行通信。
Delcher 表示,“PowerPepper 首先试图利用微软 Excel 作为 Web 客户端将 DoH 请求发送给一台 C2 服务器,但会退回到 PowerShell 的标准 Web 客户端,并最终退回到常规的 DNS 通信,如信息无法完成的话。”
该恶意软件定期使用 TXT类型的 DNS 请求通过 DoH(或在 DoH 失败时使用常规 DNS)向 C2 服务器轮询命令,以向 C2 的名称服务器发送命令。在 PowerPepper 成功地在受感染目标上启动后,C2服务器发送加密的命令,该命令将被嵌入在 DNS 响应中,以通过 HTTPS 验证目标。
Delcher 总结称,“可以说,DeathStalker 努力开发这种带有 PowerPepper 植入和相关交付链的具有躲避性、创新性和复杂工具。黑客使用的技术和技巧并不具备任何复杂之处,但事实证明整个工具集组合得很好,并显示出攻陷全球各种目标的坚定决心。”
卡巴斯基称新型黑客雇佣组织正在攻击欧洲律所
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。