Securonix 安全研究人員發現了一場特別大規模的駭客活動。它被稱為“Go#Webfuscator”,依賴一系列偽裝和混淆技術。特別是,她使用了著名的望遠鏡影像詹姆斯·韋伯安裝一個危險的惡意軟體在目標系統上。
然而,攻擊的開始卻非常經典。駭客發送一封包含誘殺 Word 文件的電子郵件。檢索後,該文件將下載一個文件範本包含惡意 Visual Basic 腳本。如果使用者允許執行巨集,該程式將下載Smacs 0723 的照片,這是詹姆斯韋伯望遠鏡使用近紅外線相機拍攝的星系團。這也是這顆衛星拍攝的第一張運行照片。
但在這種情況下,這個文件中不僅有星星。它還隱藏了一個用 Golang 編程並以 Base 64 編碼的可執行檔。但掩蓋還不止於此。編譯時,駭客會小心地對可能在系統中引發警報的字串進行編碼,例如路徑或 shell 命令。這些字串使用 ROT25 演算法進行轉換,該演算法是基於字元替換的加密。此外,程式碼的某些部分是透過 XOR 演算法進行編碼的。 ROT25 和 XOR 是相當簡單的演算法並且非常容易解碼。但這顯然足以阻止防毒軟體。
駭客使用 DNS 協定進行通信
一旦執行,該二進位檔案會將自身複製到目錄中並建立 Windows 登錄項目以確保其執行的持久性。然後它會聯繫駭客的命令和控制伺服器。這又是一場偽裝遊戲,因為這些交換是透過 DNS 請求完成的。事實上,該惡意軟體會將請求發送到駭客創建的 DNS 伺服器。後者透過將加密的命令整合到對這些請求的回應中來發送命令。“一旦建立 DNS 連接,我們就觀察到攻擊者在我們的測試系統上執行任意枚舉命令”,Securonix 在部落格中解釋。枚舉包括收集有關終端的基本資訊:作業系統類型、核心版本、環境變數、安裝的應用程式等。這通常是深度駭客攻擊的第一步。
安全研究人員發布了檢測漏洞的技術線索惡意軟體。另一方面,他們沒有冒任何歸因的風險。目前,我們不知道這張假太空照片的幕後黑手是誰。
來源 : 塞科羅尼克斯
