攻擊者為了策畫攻擊行動,很有可能事先就搶下特定網域名稱,以便後續能成功發動攻擊。

例如,資安業者Zscaler上個月發現的後門程式MadMxShell攻擊行動,就是這樣的例子。

他們發現對方從去年11月至今年3月註冊許多網域名稱,這些名稱與網路管理員及資安人員會使用的IP位址掃描工具等應用程式有關,這些應用程式包括近期常被駭客用來誘騙的Advanced IP Scanner、Angry IP Scanner,以及許多網管人員耳熟能詳的PRTG IP Scanner、ManageEngine工具,並透過Google廣告將這些網域名稱推送到特定關鍵字搜尋結果的頂部,企圖引誘上述技術人員上當。研究人員推測,對方的最終目的,是為了能夠取得入侵企業組織的初始管道。

一旦使用者上當,從攻擊者的網站下載安裝程式,他們會取得ZIP壓縮檔,當中除了看似安裝程式的執行檔,還會包含大小高達22 MB的DLL程式庫IVIEWERS.dll,而這個程式庫檔案內含第2階段的有效酬載。前面提到的「安裝程式」,其實是物件檢視器oleview.exe更名而成。

若是使用者啟動「安裝程式」,電腦就會透過側載的方式執行IVIEWERS.dll,解出微軟檔案共享服務的用戶端主程式OneDrive.exe,以及另一個DLL程式庫Secur32.dll。

接著,攻擊者透過OneDrive.exe側載Secur32.dll,而該DLL檔案會對特定的圖示資源的XOR編碼進行處理,得到名為MadMxShell的Shell Code,從而收集受害電腦系統資訊,並能執行cmd.exe,以及進行基本的檔案操作。

研究人員提及,對方為了迴避偵測,採用XOR演算法處理C2通訊的相關資訊。該惡意程式透過8位元XOR金鑰解密,從而呼叫特定函數,隨即進行重新編碼處理。

此外,C2網域名稱、網路流量通訊的加解密表格、XOR金鑰,攻擊者也將這些資訊存成字串堆疊(Stack Strings),以防遭到資安系統解析。對方這麼做的目的,就是為了Shell Code在執行的過程中,不會在記憶體內留下完整的足跡。

特別的是,此後門程式透過發送或接收DNS MX記錄的命令,來與C2伺服器進行通訊。

熱門新聞

Advertisement