据美国科技媒体BleepingComputer报道,一场新的网络钓鱼活动正在试图借助一种名为“BazarBackdoor”的新型后门木马来获取目标企业网络的完全访问权限。基于代码的相似性,臭名昭著的TrickBot银行木马的开发人员被认为是幕后黑手。
网络钓鱼电子邮件
在这场活动中,钓鱼邮件可能是各种主题,如客户投诉、新型冠状病毒以及裁员表。
图1.冒充客户投诉钓鱼邮件示例(恶意链接指向托管在Google Docs上的诱饵文档)
在发送钓鱼邮件时,攻击者使用了Sendgrid(一个电子邮件服务平台,可以帮助发件人跟踪他们的电子邮件统计数据。)
图2.钓鱼邮件通过Sendgrid发送
诱饵文档可能是Word文档、Excel电子表格或PDF文件,且与钓鱼邮件的主题相对应。
无论诱饵文档采用的是哪种格式,它们都有一个共同的特点——无法正常在线预览。也就是说,想要查看其内容,就只能下载。
图3.“新型冠状病毒”主题诱饵文档
图4.“客户投诉”主题诱饵文档
尽管下载的文件采用了Word、Excel或PDF的图标,但实际上它们全是可执行文件。例如,“新型冠状病毒”主题诱饵文档对应的文件名为“PreviewReport.DOC.exe”,“客户投诉”主题诱饵文档对应的文件名为“Preview.PDF.exe”。
但是,由于Windows默认情况下不显示文件扩展名,因此收件人看到的文件名只会是“PreviewReport.DOC”和“Preview.PDF”,误认为它们是Word和PDF文档。
分析表明,可执行文件正是BazarBackdoor的加载程序。一旦启动,后门就将隐蔽地安装在收件人的计算机上。
图5.BazarBackdoor加载程序
“无文件”后门
在收件人启动下载的文件后,加载程序首先会休眠一段时间,然后才会连接到命令和控制(C2)服务器以下载后门有效载荷。
在BleepingComputer的测试中,首个C2请求始终返回404 HTTP错误代码。
图6.C2通信
但是,第二个C2请求将下载XOR加密的有效载荷,即BazarBackdoor后门木马。
图7.XOR加密的有效载荷
最终,有效载荷将以无文件的形式注入“C:\Windows\system32\svchost.exe”进程。BleepingComputer表示,这是通过Process Hollowing和 Process Doppelgänging技术来完成的。
图8.将后门注入svchost.exe
由于Windows任务管理中时刻都运行着大量的svchost.exe进程,因此大多数用户都不太可能会注意到什么时候多出了一个这样的进程,进而也就不会注意到后门的存在。
此外,加载程序还被配置为在用户登录Windows时启动,这将允许后门的新版本被下载以及注入svchost.exe进程。
图9.添加的计划任务
一段时间后,后门程序将在受害者的计算机上下载并执行渗透测试神器Cobalt Strike,以向攻击者提供对受害者计算机的完全访问权限。
BazarBackdoor或出自TrickBot开发人员之手
相似的钓鱼邮件格式、传播方法以及代码,都表明BazarBackdoor很有可能是由TrickBot银行木马背后的同一组织开发的。
此外,BazarBackdoor还使用了此前出现在TrickBot活动中的相同加密器、电子邮件链接和证书创建方式。
结语
BleepingComputer表示,在通过BazarBackdoor获取到受害者计算机的完全访问权限后,攻击者可以执行任何攻击,如窃取数据、部署勒索软件,或者是将访问权出售给其他黑客。
鉴于钓鱼邮件的数量,BleepingComputer认为BazarBackdoor已对企业网络构成了严重威胁,并建议企业应该告知员工警惕来自sendgrid.net的电子邮件,尤其是包含文件下载链接的邮件。
