隨著全球對於資訊安全的重視,駭客也使用過往極為罕見的手法來迴避相關防禦機制,使得防守方應對相關威脅難度大幅提升。
例如,資安業者Zscaler在今年4月發現過往未曾公開的惡意程式下載工具DodgeBox,就是這樣的情形。研究人員進一步分析發現,此惡意軟體與另一支中國駭客組織APT41使用的惡意程式StealthVector的變種有相似之處,DodgeBox的主要功能,是用來在受害電腦下載名為MoonWalk的後門程式。此後門程式透過Google Drive進行C2通訊。
而對於駭客發起攻擊的過程,研究人員並未說明對方如何散布DodgeBox,但指出執行的方法是利用公用程式處理程序taskhost.exe側載惡意DLL檔案進行。接著,DodgeBox針對經過加密處理的DAT檔案進行解密,產生第二階段酬載MoonWalk。
研究人員指出,DodgeBox採用多種迴避偵測的手法,包括:呼叫記憶體堆疊欺騙(Call Stack Spoofing)、DLL側載、DLL處理程序挖空,以及環境護軌(Environmental Guardrails)。他們認為,駭客結合上述的手法,而能有效降低被資安防護系統偵測到的機會。
他們看到有人從臺灣及泰國上傳DodgeBox到惡意程式檢測平臺VirusTotal,而APT41過往在針對東南亞地區的攻擊行動裡使用StealthVector,兩款惡意程式在攻擊的地理位置產生關聯。
這個惡意程式下載工具以C語言打造而成,研究人員認為應獨立於StealthVector視為另一個惡意程式的主要原因在於,DodgeBox採用了獨特的演算法,以及新的技術。
駭客執行這個惡意程式的方式,不意外地採用相當常見的DLL側載手法,但他們用來載入的可執行檔,都是來自資安業者開發的防護元件,他們看到其中一種是來自韓國資安業者AhnLab開發,另一個則是Sophos旗下的沙箱解決方案業者Sandboxie製作。
一旦這個惡意軟體成功載入執行,電腦就會先使用AES-CFB演算法解密組態設定,然後進行環境檢查,確保使用正確的參數執行,並解析特定API進行環境設定,最終比對MAC位址、電腦名稱、使用者名稱,避免在資安研究人員的測試環境運作。
在完成上述步驟後,DodgeBox才會解密有效酬載,並利用指定金鑰重新加密,最終透過DLL處理程序挖空手法載入有效酬載。研究人員指出,駭客加密目的,是讓有效酬載無法在受害電腦以外的地方執行。
比較特別的是,這裡對方用來載入有效酬載的DLL檔案,是從System32隨機挑選、複製後再濫用。
在前述的執行過程裡,駭客在DodgeBox運作過程當中,還運用了另一項攻擊手法呼叫記憶體堆疊欺騙,這麼做的目的是掩蓋API呼叫的來源,讓這些惡意程式的呼叫看起來像來自合法執行檔,使得防毒軟體及EDR系統偵測攻擊行動更加困難。
而針對駭客使用的有效酬載MoonWalk,研究人員發現,駭客使用了許多與DodgeBox相同的迴避偵測手法,原因是他們使用了共通的開發套件打造兩者,但不同的是,MoonWalk具備進階功能,像是濫用Google Drvie作為C2通道,以及透過Windows Fibers迴避防毒軟體及EDR的偵測。
此外,該後門程式採用模組化設計,使得攻擊者能輕易對於不同情境調整功能,或是加入新的能力。
究竟這個後門的運作方式為何?一旦MoonWalk於受害電腦的記憶體內載入,就會解密C2、Utility兩項內嵌模組並啟動,然後建立C2連線。
不過,研究人員指出MoonWalk有多項特別的運作方式,首先,在初始化的時候會卸除載入工具DodgeBox,並使用處理程式環境區塊(Process Environment Block,PEB)解除兩者之間的連結,這麼做的目的主要是混淆來源,但也減少MoonWalk的足跡。
接著,此後門程式會初始化用於管控Windows Fibers的全域架構。
什麼是Windows Fibers?研究人員指出,這是輕量級的處理程序機制,與一般處理程序最大的不同在於,Fiber處理程序由應用程式管理、調度,而非由作業系統管控,使得開發者能對於特定工作負載調整應用程式效能,但這種機制較為複雜,加上推出後電腦硬體效能也顯著成長,使得Fiber處理程序並未受到廣泛採用。
隨著近年來全球資安威脅加劇,這種鮮為人知的功能成為駭客利用的對象,也有研究人員與紅隊演練關注這類機制。研究人員指出,APT41濫用這種作業系統功能,使得MoonWalk有機會逃過部分防毒軟體或EDR系統的偵測,甚至能夠破壞控制流程,導致研究人員分析難度提高。
完成上述準備工作後,MoonWalk才會解密、載入配置及外掛模組,最終與C2連線。此後門程式的主要功能,除能執行駭客下達的命令,還包含了收集系統資訊、竊取憑證,甚至能產生登入Windows作業系統的憑證。
熱門新聞
2024-08-19
2024-08-20
2024-08-21
2024-08-20
2024-08-19
2024-08-19
2024-08-16
2024-08-19