网络间谍病毒Waterbear现新变种,自带逃避查杀功能

2020年01月03日12:50:08 科技 1521


网络间谍病毒Waterbear现新变种,自带逃避查杀功能 - 天天要闻

BlackTech,一个主要以东亚地区(尤其是中国台湾,也包括中国香港和日本)的技术公司和政府机构为攻击目标的网络间谍组织,且并被认为是恶意软件“Waterbear”的幕后操控者。

Waterbear是一种模块化恶意软件,已经存在了多年,其加载模块能够通过从命令和控制(C2)服务器下载有效载荷来实现不同的功能。在大多数情况下,有效载荷都是后门程序,可以接收和加载其他模块。

最近,网络安全公司趋势科技(Trend Micro)捕获了Waterbear的一个最新变种,其加载模块不仅会下载第一阶段后门,而且还会下载一个会将代码注入特定的安全产品中进行API挂钩来隐藏第一阶段后门恶意行为的有效载荷。

旧版本Waterbear

如上所述,Waterbear具有模块化的结构,通过加载模块(DLL文件)解密并执行RC4加密的有效载荷。一般情况下,有效载荷都是第一阶段后门,用于从攻击者那里接收并加载其他可执行文件。

根据功能的不同,第一阶段后门大致可分为两种:第一种,连接C2服务器;第二种,侦听特定端口。

网络间谍病毒Waterbear现新变种,自带逃避查杀功能 - 天天要闻

图1.典型的Waterbear感染链

如上图所示,典型的Waterbear感染从一个恶意DLL加载程序开始,而涉及到的触发技术也分为两种:第一种,修改合法的服务器应用程序以导入和加载DLL加载器;第二种,执行虚拟DLL劫持和DLL端加载。

为了逃避安全检测,有效载荷会在执行实际的恶意例程之前对所有的函数块进行加密,然后只会在需要使用函数时,解密相应函数并执行,而之后则会再次对函数加密。

网络间谍病毒Waterbear现新变种,自带逃避查杀功能 - 天天要闻

图2.解密-执行-加密函数

新版本Waterbear

与之间的版本不同,趋势科技此次捕获的新版本Waterbear加载了两个有效载荷。其中,第一个有效载荷会将代码注入特定的安全产品中进行API挂钩来隐藏其恶意行为,而第二个有效载荷则是典型的Waterbear第一阶段后门。

网络间谍病毒Waterbear现新变种,自带逃避查杀功能 - 天天要闻

图3.新的Waterbear感染链

两种有效载荷均经过加密处理,存储在受感染计算机的磁盘上,并注入到同一服务(如LanmanServer)中。

趋势科技表示,新版本Waterbear的加载程序首先会试图从文件中读取并解密有效载荷,然后对其解密,并按如下条件执行线程注入:

1.如果在磁盘上找不到第一个有效载荷,则将终止加载程序而不会加载第二个有效载荷(即第一阶段后门)。

2.如果第一个有效载荷被成功解密并注入到服务中,那么不管第一个线程发生了什么,第二个有效载荷也将被加载并注入。

3.在第一个注入的线程中,如果找不到来自特定安全产品的必要可执行文件,那么该线程将被终止,而不会执行其他恶意例程。需要注意的是,只有线程将被终止,而服务仍将运行。

为了隐藏第一阶段后门,第一个有效载荷使用了API挂钩技术来逃避特定安全产品的检测。具体来说,它挂钩了两个不同的API,即“ZwOpenProcess”和“GetExtendedTcpTable”,以隐藏其特定进程。

网络间谍病毒Waterbear现新变种,自带逃避查杀功能 - 天天要闻

图4.“ZwOpenProcess”的函数挂钩,用于检查和修改函数的输出

网络间谍病毒Waterbear现新变种,自带逃避查杀功能 - 天天要闻

图5.被修改后的“ZwOpenProcess”

结论

趋势科技表示,这是他们首次观察到Waterbear试图隐藏其后门活动。

根据硬编码的安全产品名称,趋势科技认为攻击者应该十分了解受害者所使用的安全产品,甚至连这些安全产品是如何在客户端的端点和网络上收集信息的都十分清楚。因为只有这样,他们才有可能知道具体要挂钩哪些API。

此外,由于API挂钩shellcode采用的是通用方法,因此攻击者之后还可能会使用类似的代码段来应对其他安全产品,使得Waterbear活动更加难以检测。

科技分类资讯推荐

京东3C数码618开门红1小时爆发式增长 上万个趋势单品增长超10倍 - 天天要闻

京东3C数码618开门红1小时爆发式增长 上万个趋势单品增长超10倍

真正的618,从5月30日晚8点开启!凭借国补叠加以旧换新补贴低至4折焕新、每晚8点限量3C数码产品5折购、全民1分购等超值福利,京东3C数码618开门红1小时即呈现爆发式增长,以智能机器人、游戏本、高端耳机/音箱为代表的上万个趋势单品,成交额增长均超10倍,用户的消费热情得到了充分释放。 对于广大果粉而言,换新Apple好物...
今年618,我踩进了美团做的局 - 天天要闻

今年618,我踩进了美团做的局

坏了,最近可能是钱包被资本做局了。本来秉承着 618 一毛不拔的信念,但看到同事闪购到手一台华为 Pura 70 Ultra,不但国补后直接便宜了大几百,相比各平台的 618 大促活动价,又直降小一百块,干到了 ¥5496。
中鼎智能毛利率持续下滑:遭索赔数千万,银行存款被冻结1150万 - 天天要闻

中鼎智能毛利率持续下滑:遭索赔数千万,银行存款被冻结1150万

《港湾商业观察》廖紫雯日前,中鼎智能(无锡)科技股份有限公司递表港交所,保荐机构为国泰君安国际。作为智能场内物流和仓储自动化解决方案提供商,中鼎智能在2024年市场份额达到1.7%。业绩面上,公司近年来毛利率持续下滑,从2022年的14.1%降至2024年的13.1%,且核心产品智能场内物流解决方案的毛利率也从2022年的13.4%...
宝骏享境预售!13.28万元起抢四大越级体验 - 天天要闻

宝骏享境预售!13.28万元起抢四大越级体验

4 月 7 日,“2025 年上汽通用五菱技术进化日暨宝骏享境预售发布会” 上,宝骏首款 “智能超舒适旗舰家轿” 享境惊艳亮相!4 款车型(140km 插混双版、600km 纯电双版)预售 13.28 万 - 15.58 万,灵眸智驾、灵语座舱等先锋技术拉满