網絡間諜病毒Waterbear現新變種,自帶逃避查殺功能

2020年01月03日12:50:08 科技 1521


網絡間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

BlackTech,一個主要以東亞地區(尤其是中國台灣,也包括中國香港和日本)的技術公司和政府機構為攻擊目標的網絡間諜組織,且並被認為是惡意軟件「Waterbear」的幕後操控者。

Waterbear是一種模塊化惡意軟件,已經存在了多年,其加載模塊能夠通過從命令和控制(C2)服務器下載有效載荷來實現不同的功能。在大多數情況下,有效載荷都是後門程序,可以接收和加載其他模塊。

最近,網絡安全公司趨勢科技(Trend Micro)捕獲了Waterbear的一個最新變種,其加載模塊不僅會下載第一階段後門,而且還會下載一個會將代碼注入特定的安全產品中進行API掛鈎來隱藏第一階段後門惡意行為的有效載荷。

舊版本Waterbear

如上所述,Waterbear具有模塊化的結構,通過加載模塊(DLL文件)解密並執行RC4加密的有效載荷。一般情況下,有效載荷都是第一階段後門,用於從攻擊者那裡接收並加載其他可執行文件。

根據功能的不同,第一階段後門大致可分為兩種:第一種,連接C2服務器;第二種,偵聽特定端口。

網絡間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖1.典型的Waterbear感染鏈

如上圖所示,典型的Waterbear感染從一個惡意DLL加載程序開始,而涉及到的觸發技術也分為兩種:第一種,修改合法的服務器應用程序以導入和加載DLL加載器;第二種,執行虛擬DLL劫持和DLL端加載。

為了逃避安全檢測,有效載荷會在執行實際的惡意例程之前對所有的函數塊進行加密,然後只會在需要使用函數時,解密相應函數並執行,而之後則會再次對函數加密。

網絡間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖2.解密-執行-加密函數

新版本Waterbear

與之間的版本不同,趨勢科技此次捕獲的新版本Waterbear加載了兩個有效載荷。其中,第一個有效載荷會將代碼注入特定的安全產品中進行API掛鈎來隱藏其惡意行為,而第二個有效載荷則是典型的Waterbear第一階段後門。

網絡間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖3.新的Waterbear感染鏈

兩種有效載荷均經過加密處理,存儲在受感染計算機的磁盤上,並注入到同一服務(如LanmanServer)中。

趨勢科技表示,新版本Waterbear的加載程序首先會試圖從文件中讀取並解密有效載荷,然後對其解密,並按如下條件執行線程注入:

1.如果在磁盤上找不到第一個有效載荷,則將終止加載程序而不會加載第二個有效載荷(即第一階段後門)。

2.如果第一個有效載荷被成功解密並注入到服務中,那麼不管第一個線程發生了什麼,第二個有效載荷也將被加載並注入。

3.在第一個注入的線程中,如果找不到來自特定安全產品的必要可執行文件,那麼該線程將被終止,而不會執行其他惡意例程。需要注意的是,只有線程將被終止,而服務仍將運行。

為了隱藏第一階段後門,第一個有效載荷使用了API掛鈎技術來逃避特定安全產品的檢測。具體來說,它掛鈎了兩個不同的API,即「ZwOpenProcess」和「GetExtendedTcpTable」,以隱藏其特定進程。

網絡間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖4.「ZwOpenProcess」的函數掛鈎,用於檢查和修改函數的輸出

網絡間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖5.被修改後的「ZwOpenProcess」

結論

趨勢科技表示,這是他們首次觀察到Waterbear試圖隱藏其後門活動。

根據硬編碼的安全產品名稱,趨勢科技認為攻擊者應該十分了解受害者所使用的安全產品,甚至連這些安全產品是如何在客戶端的端點和網絡上收集信息的都十分清楚。因為只有這樣,他們才有可能知道具體要掛鈎哪些API。

此外,由於API掛鈎shellcode採用的是通用方法,因此攻擊者之後還可能會使用類似的代碼段來應對其他安全產品,使得Waterbear活動更加難以檢測。

科技分類資訊推薦

京東3C數碼618開門紅1小時爆髮式增長 上萬個趨勢單品增長超10倍 - 天天要聞

京東3C數碼618開門紅1小時爆髮式增長 上萬個趨勢單品增長超10倍

真正的618,從5月30日晚8點開啟!憑藉國補疊加以舊換新補貼低至4折煥新、每晚8點限量3C數碼產品5折購、全民1分購等超值福利,京東3C數碼618開門紅1小時即呈現爆髮式增長,以智能機械人、遊戲本、高端耳機/音箱為代表的上萬個趨勢單品,成交額增長均超10倍,用戶的消費熱情得到了充分釋放。 對於廣大果粉而言,換新Apple好物...
今年618,我踩進了美團做的局 - 天天要聞

今年618,我踩進了美團做的局

壞了,最近可能是錢包被資本做局了。本來秉承着 618 一毛不拔的信念,但看到同事閃購到手一台華為 Pura 70 Ultra,不但國補後直接便宜了大幾百,相比各平台的 618 大促活動價,又直降小一百塊,干到了 ¥5496。
中鼎智能毛利率持續下滑:遭索賠數千萬,銀行存款被凍結1150萬 - 天天要聞

中鼎智能毛利率持續下滑:遭索賠數千萬,銀行存款被凍結1150萬

《港灣商業觀察》廖紫雯日前,中鼎智能(無錫)科技股份有限公司遞表港交所,保薦機構為國泰君安國際。作為智能場內物流和倉儲自動化解決方案提供商,中鼎智能在2024年市場份額達到1.7%。業績面上,公司近年來毛利率持續下滑,從2022年的14.1%降至2024年的13.1%,且核心產品智能場內物流解決方案的毛利率也從2022年的13.4%...
寶駿享境預售!13.28萬元起搶四大越級體驗 - 天天要聞

寶駿享境預售!13.28萬元起搶四大越級體驗

4 月 7 日,「2025 年上汽通用五菱技術進化日暨寶駿享境預售發佈會」 上,寶駿首款 「智能超舒適旗艦家轎」 享境驚艷亮相!4 款車型(140km 插混雙版、600km 純電雙版)預售 13.28 萬 - 15.58 萬,靈眸智駕、靈語座艙等先鋒技術拉滿