自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

武器化開源軟件用于定向攻擊

作者:ang010ela
安全
木馬化的開源軟件是很難發(fā)現(xiàn)的,因?yàn)樗昧撕戏ǖ?、非惡意的軟件,因此對定向攻擊非常有用。但是,進(jìn)一步調(diào)研發(fā)現(xiàn)了暴露惡意意圖的可疑行為。

[[354021]]

木馬化的開源軟件是很難發(fā)現(xiàn)的,因?yàn)樗昧撕戏ǖ摹⒎菒阂獾能浖?,因此對定向攻擊非常有用。但是,進(jìn)一步調(diào)研發(fā)現(xiàn)了暴露惡意意圖的可疑行為。

調(diào)查分析

研究人員在一次事件的分析中發(fā)現(xiàn)了一個(gè)名為notepad.exe 的文件。因?yàn)?Notepad 是一款知名的合法應(yīng)用程序。因此,一些惡意軟件作者通過使用合法軟件的名字來對惡意文件進(jìn)行偽裝以繞過檢測。


圖 1. 可疑的notepad.exe 文件

notepad.exe 文件是通過ntoskrnl.exe 可執(zhí)行文件來釋放的,這是Windows NT 操作系統(tǒng)kernel 可執(zhí)行文件。這一過程可疑通過利用ntoskrnl.exe 或網(wǎng)絡(luò)共享來實(shí)現(xiàn)。根據(jù)數(shù)據(jù)分析,研究人員認(rèn)為本例中攻擊者使用的網(wǎng)絡(luò)共享方式。通過RCA 分析,研究人員發(fā)現(xiàn)惡意 notepad.exe 文件通過調(diào)用以下工具完成了一些可疑的操作:


表 1. 可執(zhí)行文件名和函數(shù)

notepad.exe文件到這些進(jìn)程和函數(shù)的鏈接表明改文件是一個(gè)典型的后門,會從惡意遠(yuǎn)程用戶處獲取命令。notepad.exe的屬性如下所示:


圖 2. Notepad.exe屬性

文件描述、產(chǎn)品名、原始的文件名是Notepad++。而事實(shí)上,Notepad++ 可執(zhí)行文件一般是notepad++.exe而不是樣本中的“notepad.exe。版本v7.8.6 也是比較老的,目前最新的版本是11月發(fā)布的v7.9.1。

執(zhí)行文件發(fā)現(xiàn):


圖 3. 執(zhí)行notepad.exe文件

該文件的用戶接口與合法的Notepad++ 文件非常類似。乍一看沒有什么問題。但是從行為上來說,研究人員發(fā)現(xiàn)樣本會搜索c:\windows\debug 文件夾的config.dat 文件。


圖 4. 搜索config.dat 文件

代碼分析

反編譯惡意Notepad++ 文件的結(jié)果如下所示:


圖 5. 惡意Notepad++ 文件代碼部分

非惡意Notepad++ 文件的代碼部分如下所示:


圖 6. 非惡意Notepad++ 文件代碼部分

這些代碼有很多的相似之處。但是,惡意的Notepad++ 文件有一些額外的用于加載加密的blob文件(config.dat)的代碼。加密的代碼解密并在內(nèi)存中執(zhí)行后就可以執(zhí)行后門行為。

研究人員一共發(fā)現(xiàn)了2個(gè)使用相同加載器但使用不同payload的實(shí)例,其中一個(gè)payload是TrojanSpy.Win32.LAZAGNE.B,另一個(gè)payload是Ransom.Win32.EXX.YAAK-B (Defray勒索軟件)。進(jìn)一步調(diào)查發(fā)現(xiàn)其他使用相同加載器的blob 文件可以加載不同的payload。

研究人員懷疑該文件是用于定向水坑攻擊中了。在初期的機(jī)器被感染后,通過管理員分享傳播惡意notepad++ 和config.dat。該notepad.exe 文件來自于惡意源頭,與Notepad和Notepad++.exe的官方發(fā)布源沒有任何關(guān)系。

武器化開源軟件

由于與合法的Notepad 文件非常相似,因?yàn)榉治龅臉颖竞芸赡軙诲e(cuò)認(rèn)為非惡意的文件,尤其是計(jì)算機(jī)知識匱乏的員工。由于Notepad 的源代碼是公開的,任何人都可以訪問,所以攻擊者通過木馬化開源軟件實(shí)現(xiàn)了這一任務(wù)。

攻擊者可以尋找廣泛使用的開源軟件,并通過添加可以執(zhí)行加載加密blob 文件類似功能的代碼來木馬化開源軟件。也就是說文件的二進(jìn)制文件代碼大多是非惡意的,而惡意代碼的目的只是加載文件。此外,加密的blob 文件也沒有文件頭信息。因此很難檢測,甚至基于人工智能/機(jī)器學(xué)習(xí)方法的反惡意軟件解決方案也難以檢測。

建議

研究人員建議用戶從官方或合法下載文件、應(yīng)用和軟件(包括開源軟件)。企業(yè)可以創(chuàng)建和維護(hù)一個(gè)允許從中下載的站點(diǎn)列表。對于安全和IT 團(tuán)隊(duì),強(qiáng)烈建議驗(yàn)證下載的文件的校驗(yàn)和。

本文翻譯自:https://www.trendmicro.com/en_us/research/20/k/weaponizing-open-source-software-for-targeted-attacks.html如若轉(zhuǎn)載,請注明原文地址。

 

責(zé)任編輯:姜華 來源: 嘶吼網(wǎng)
攻擊
相關(guān)推薦

2022-03-29 09:39:57

開源OSI抗議

2017-03-08 09:42:43

2021-06-15 13:59:52

勒索軟件攻擊數(shù)據(jù)泄露

2013-07-27 22:35:03

2020-04-30 11:04:09

DDoS攻擊網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)安全

2010-08-24 09:49:44

2014-02-25 09:38:22

2009-07-13 21:02:36

2018-12-24 09:35:54

機(jī)器學(xué)習(xí)人工智能計(jì)算機(jī)

2023-02-21 14:01:24

2025-04-10 10:03:37

2014-06-18 15:32:46

2017-02-08 14:20:00

2020-05-12 10:23:41

勒索軟件ColdLock網(wǎng)絡(luò)攻擊

2016-02-26 09:43:42

雅虎人工智能開源

2010-02-23 22:04:06

2020-04-29 09:24:48

Python數(shù)據(jù)工具

2009-03-04 11:31:17

2009-03-04 18:11:10

開源虛擬化金融危機(jī)

2013-12-13 09:54:34

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號