據美國科技媒體BleepingComputer報道,一場新的網絡釣魚活動正在試圖藉助一種名為“BazarBackdoor”的新型後門木馬來獲取目標企業網絡的完全訪問權限。基於代碼的相似性,臭名昭著的TrickBot銀行木馬的開發人員被認為是幕後黑手。
網絡釣魚電子郵件
在這場活動中,釣魚郵件可能是各種主題,如客戶投訴、新型冠狀病毒以及裁員表。
圖1.冒充客戶投訴釣魚郵件示例(惡意鏈接指向託管在Google Docs上的誘餌文檔)
在發送釣魚郵件時,攻擊者使用了Sendgrid(一個電子郵件服務平臺,可以幫助發件人跟蹤他們的電子郵件統計數據。)
圖2.釣魚郵件通過Sendgrid發送
誘餌文檔可能是Word文檔、Excel電子表格或PDF文件,且與釣魚郵件的主題相對應。
無論誘餌文檔採用的是哪種格式,它們都有一個共同的特點——無法正常在線預覽。也就是說,想要查看其內容,就只能下載。
圖3.“新型冠狀病毒”主題誘餌文檔
圖4.“客戶投訴”主題誘餌文檔
儘管下載的文件採用了Word、Excel或PDF的圖標,但實際上它們全是可執行文件。例如,“新型冠狀病毒”主題誘餌文檔對應的文件名為“PreviewReport.DOC.exe”,“客戶投訴”主題誘餌文檔對應的文件名為“Preview.PDF.exe”。
但是,由於Windows默認情況下不顯示文件擴展名,因此收件人看到的文件名只會是“PreviewReport.DOC”和“Preview.PDF”,誤認為它們是Word和PDF文檔。
分析表明,可執行文件正是BazarBackdoor的加載程序。一旦啟動,後門就將隱蔽地安裝在收件人的計算機上。
圖5.BazarBackdoor加載程序
“無文件”後門
在收件人啟動下載的文件後,加載程序首先會休眠一段時間,然後才會連接到命令和控制(C2)服務器以下載後門有效載荷。
在BleepingComputer的測試中,首個C2請求始終返回404 HTTP錯誤代碼。
圖6.C2通信
但是,第二個C2請求將下載XOR加密的有效載荷,即BazarBackdoor後門木馬。
圖7.XOR加密的有效載荷
最終,有效載荷將以無文件的形式注入“C:\Windows\system32\svchost.exe”進程。BleepingComputer表示,這是通過Process Hollowing和 Process Doppelgänging技術來完成的。
圖8.將後門注入svchost.exe
由於Windows任務管理中時刻都運行著大量的svchost.exe進程,因此大多數用戶都不太可能會注意到什麼時候多出了一個這樣的進程,進而也就不會注意到後門的存在。
此外,加載程序還被配置為在用戶登錄Windows時啟動,這將允許後門的新版本被下載以及注入svchost.exe進程。
圖9.添加的計劃任務
一段時間後,後門程序將在受害者的計算機上下載並執行滲透測試神器Cobalt Strike,以向攻擊者提供對受害者計算機的完全訪問權限。
BazarBackdoor或出自TrickBot開發人員之手
相似的釣魚郵件格式、傳播方法以及代碼,都表明BazarBackdoor很有可能是由TrickBot銀行木馬背後的同一組織開發的。
此外,BazarBackdoor還使用了此前出現在TrickBot活動中的相同加密器、電子郵件鏈接和證書創建方式。
結語
BleepingComputer表示,在通過BazarBackdoor獲取到受害者計算機的完全訪問權限後,攻擊者可以執行任何攻擊,如竊取數據、部署勒索軟件,或者是將訪問權出售給其他黑客。
鑑於釣魚郵件的數量,BleepingComputer認為BazarBackdoor已對企業網絡構成了嚴重威脅,並建議企業應該告知員工警惕來自sendgrid.net的電子郵件,尤其是包含文件下載鏈接的郵件。
關鍵字: BleepingComputer svchost 郵件
