Securonix 安全研究人员发现了一场特别大规模的黑客活动。它被称为“Go#Webfuscator”,依赖于一系列伪装和混淆技术。特别是,她使用了著名的望远镜图像詹姆斯·韦伯安装一个危险的恶意软件在目标系统上。
然而,攻击的开始却非常经典。黑客发送一封包含诱杀 Word 文档的电子邮件。检索后,该文档将下载一个文件模板包含恶意 Visual Basic 脚本。如果用户允许执行宏,该程序将下载Smacs 0723 的照片,这是詹姆斯·韦伯望远镜使用近红外相机拍摄的一个星系团。这也是这颗卫星拍摄的第一张运行照片。
但在这种情况下,这个文件中不仅有星星。它还隐藏了一个用 Golang 编程并以 Base 64 编码的可执行文件。该二进制文件由上面提到的 Visual Basic 脚本提取,并以看似无害的名称 (msdlupdate.exe) 保存。但掩盖还不止于此。编译时,黑客会小心地对可能在系统中引发警报的字符串进行编码,例如路径或 shell 命令。这些字符串使用 ROT25 算法进行转换,该算法是基于字符替换的加密。此外,代码的某些部分是通过 XOR 算法进行编码的。 ROT25 和 XOR 是相当简单的算法并且非常容易解码。但这显然足以阻止防病毒软件。
黑客使用 DNS 协议进行通信
一旦执行,该二进制文件会将自身复制到一个目录中并创建一个 Windows 注册表项以确保其执行的持久性。然后它会联系黑客的命令和控制服务器。这又是一场伪装游戏,因为这些交换是通过 DNS 请求完成的。事实上,该恶意软件会将请求发送到黑客创建的 DNS 服务器。后者通过将加密的命令集成到对这些请求的响应中来发送命令。“一旦建立 DNS 连接,我们就观察到攻击者在我们的测试系统上执行任意枚举命令”,Securonix 在博客中解释道。枚举包括收集有关终端的基本信息:操作系统类型、内核版本、环境变量、安装的应用程序等。这通常是深度黑客攻击的第一步。
安全研究人员发布了检测该漏洞的技术线索恶意软件。另一方面,他们没有冒任何归因的风险。目前,我们不知道这张假太空照片的幕后黑手是谁。
来源 : 塞科罗尼克斯
