自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

黑客利用新型Dropper在Windows上傳播惡意軟件

作者:流蘇_
安全
Fortinet旗下FortiGuard實(shí)驗(yàn)室的威脅研究小組發(fā)現(xiàn)了一種新型安卓惡意軟件投放器,負(fù)責(zé)傳遞最終有效載荷。

近日,F(xiàn)ortinet旗下FortiGuard實(shí)驗(yàn)室的威脅研究小組發(fā)現(xiàn)了一種新型安卓惡意軟件投放器,負(fù)責(zé)傳遞最終有效載荷。由于它們通常包含一個(gè)波蘭語(yǔ)字符串“Kolko_i_krzyzyk”,英語(yǔ)譯為TicTacToe,因此被命名為TicTacToe Dropper。目前研究人員發(fā)現(xiàn)TicTacToe Dropper在Windows設(shè)備上投放各種惡意軟件,其中包括著名的包括AgentTesla和LokiBot。

這些投放器在加載和初始執(zhí)行期間對(duì)最終有效載荷進(jìn)行了混淆,包括Leonem、AgentTesla、SnakeLogger、LokiBot、Remcos、RemLoader、Sabsik、Taskun、Androm和Upatre。

根據(jù)FortiGuard的說(shuō)法,井字棋投放器在過(guò)去12個(gè)月中分發(fā)了多個(gè)最終階段的遠(yuǎn)程訪問(wèn)工具(RATs),而且最終有效載荷具有幾個(gè)共同特征,包括多階段分層有效載荷、.NET 可執(zhí)行文件/庫(kù)、使用SmartAssembly軟件的有效載荷混淆、DLL文件嵌套以及反射加載。

在這次活動(dòng)中,惡意軟件執(zhí)行文件通常通過(guò).iso文件傳遞,這是一種經(jīng)常被用來(lái)避免被殺毒軟件檢測(cè)的技術(shù),也是一種繞過(guò)網(wǎng)絡(luò)標(biāo)記的技術(shù)。可執(zhí)行文件包含多個(gè)DLL文件層,這些文件層在運(yùn)行時(shí)被提取并直接加載到內(nèi)存中。

TicTacToe Dropper針對(duì)Windows系統(tǒng)

2024年2月,Amey Gat和Mark Robson在FortiGuard博客中指出,這種中等嚴(yán)重性級(jí)別的加載器主要影響Microsoft Windows平臺(tái),可能導(dǎo)致憑證泄露并使進(jìn)一步的惡意活動(dòng)成為可能。

2023年初的樣本包含了“TicTacToe ”字符串,而后來(lái)的活動(dòng)使用了不同的字符串和不同的最終階段有效載荷。這表明該工具在不斷發(fā)展,開發(fā)者試圖避開基于字符串的分析。

第一個(gè)樣本是一個(gè)名為‘ALco.exe’的32位可執(zhí)行文件,它提取并加載了一個(gè)名為‘Hadval.dll’或‘stage2 payload’的.NET PE DLL文件。該文件使用了DeepSea版本4.1進(jìn)行了混淆,導(dǎo)致函數(shù)名稱和代碼流難以閱讀。

使用de4dot工具

de4dot工具是一個(gè)開源(GPLv3)的.NET反混淆和解包器,在攻擊中使用,成功繞過(guò)了某些DeepSea混淆技術(shù),導(dǎo)致Hadval.dll文件的大部分被反混淆。

這個(gè)文件負(fù)責(zé)提取一個(gè)gzip blob,在解壓后,顯示出另一個(gè)32位PE DLL文件和另一個(gè).NET庫(kù)。第三階段的有效載荷,內(nèi)部命名為‘cruiser.dll’,受到SmartAssembly軟件的保護(hù)。

cruiser.dll文件包含一個(gè)名為‘Munoz’的類,它在臨時(shí)文件夾中創(chuàng)建了可執(zhí)行文件的副本。第三階段的代碼從位圖對(duì)象‘dZAu’中提取、加載并執(zhí)行第四階段的有效載荷。另一個(gè)DLL文件,‘Farinell2.dll’,使用了自定義混淆器進(jìn)行混淆。

AgentTesla惡意軟件

之前分析了另一個(gè)TicTacToe 投放器樣本,它投放了眾所周知的RAT(遠(yuǎn)程管理工具)AgentTesla。這個(gè)32位的.NET可執(zhí)行文件使用了相同的技術(shù)來(lái)加載存儲(chǔ)在文件資源元素中的代碼。

第二階段的有效載荷內(nèi)部名為‘Pendulum.dll’,第三階段的有效載荷名為‘cruiser.dll’。第三階段的有效載荷從位圖對(duì)象‘faLa’中提取了第四階段的有效載荷,最終的有效載荷是AgentTesla。

為了緩解威脅,研究人員認(rèn)為基于哈希的檢測(cè)對(duì)已知的活動(dòng)是有效的。然而,鑒于這種惡意軟件的動(dòng)態(tài)本質(zhì),對(duì)于新的活動(dòng)需要基于行為的端點(diǎn)安全工具。像FortiEDR這樣的EDR技術(shù)可以有效檢測(cè)異常行為。

參考鏈接:https://www.hackread.com/tictactoe-dropper-steals-data-windows-threats/

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf.COM
黑客惡意軟件
相關(guān)推薦

2022-07-18 06:10:14

惡意軟件網(wǎng)絡(luò)釣魚網(wǎng)絡(luò)攻擊

2014-09-23 17:14:39

2015-01-20 11:40:43

2024-10-11 16:52:12

2021-12-07 18:39:19

黑客虛假?gòu)V告惡意軟件

2024-09-12 14:54:03

2025-02-04 21:48:34

2022-05-05 09:04:33

惡意軟件黑客

2025-02-06 08:37:38

2020-03-31 10:49:00

黑客Zoom惡意軟件

2022-08-31 15:59:19

惡意軟件網(wǎng)絡(luò)釣魚威脅分析師

2023-11-10 16:14:29

2023-11-08 14:23:55

2012-04-21 19:02:25

黑客Instagram

2020-02-16 11:54:35

網(wǎng)絡(luò)安全黑客軟件

2021-02-02 09:12:13

惡意軟件Android網(wǎng)絡(luò)攻擊

2021-12-06 09:26:03

黑客惡意程序網(wǎng)絡(luò)攻擊

2020-05-18 10:29:39

黑客網(wǎng)絡(luò)安全疫情

2024-02-26 18:10:54

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)