網路間諜病毒Waterbear現新變種,自帶逃避查殺功能

2020年01月03日12:50:08 科技 1521


網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

BlackTech,一個主要以東亞地區(尤其是中國台灣,也包括中國香港和日本)的技術公司和政府機構為攻擊目標的網路間諜組織,且並被認為是惡意軟體「Waterbear」的幕後操控者。

Waterbear是一種模塊化惡意軟體,已經存在了多年,其載入模塊能夠通過從命令和控制(C2)伺服器下載有效載荷來實現不同的功能。在大多數情況下,有效載荷都是後門程序,可以接收和載入其他模塊。

最近,網路安全公司趨勢科技(Trend Micro)捕獲了Waterbear的一個最新變種,其載入模塊不僅會下載第一階段後門,而且還會下載一個會將代碼注入特定的安全產品中進行API掛鉤來隱藏第一階段後門惡意行為的有效載荷。

舊版本Waterbear

如上所述,Waterbear具有模塊化的結構,通過載入模塊(DLL文件)解密並執行RC4加密的有效載荷。一般情況下,有效載荷都是第一階段後門,用於從攻擊者那裡接收並載入其他可執行文件。

根據功能的不同,第一階段後門大致可分為兩種:第一種,連接C2伺服器;第二種,偵聽特定埠。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖1.典型的Waterbear感染鏈

如上圖所示,典型的Waterbear感染從一個惡意DLL載入程序開始,而涉及到的觸發技術也分為兩種:第一種,修改合法的伺服器應用程序以導入和載入DLL載入器;第二種,執行虛擬DLL劫持和DLL端載入。

為了逃避安全檢測,有效載荷會在執行實際的惡意常式之前對所有的函數塊進行加密,然後只會在需要使用函數時,解密相應函數並執行,而之後則會再次對函數加密。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖2.解密-執行-加密函數

新版本Waterbear

與之間的版本不同,趨勢科技此次捕獲的新版本Waterbear載入了兩個有效載荷。其中,第一個有效載荷會將代碼注入特定的安全產品中進行API掛鉤來隱藏其惡意行為,而第二個有效載荷則是典型的Waterbear第一階段後門。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖3.新的Waterbear感染鏈

兩種有效載荷均經過加密處理,存儲在受感染計算機的磁碟上,並注入到同一服務(如LanmanServer)中。

趨勢科技表示,新版本Waterbear的載入程序首先會試圖從文件中讀取並解密有效載荷,然後對其解密,並按如下條件執行線程注入:

1.如果在磁碟上找不到第一個有效載荷,則將終止載入程序而不會載入第二個有效載荷(即第一階段後門)。

2.如果第一個有效載荷被成功解密並注入到服務中,那麼不管第一個線程發生了什麼,第二個有效載荷也將被載入並注入。

3.在第一個注入的線程中,如果找不到來自特定安全產品的必要可執行文件,那麼該線程將被終止,而不會執行其他惡意常式。需要注意的是,只有線程將被終止,而服務仍將運行。

為了隱藏第一階段後門,第一個有效載荷使用了API掛鉤技術來逃避特定安全產品的檢測。具體來說,它掛鉤了兩個不同的API,即「ZwOpenProcess」和「GetExtendedTcpTable」,以隱藏其特定進程。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖4.「ZwOpenProcess」的函數掛鉤,用於檢查和修改函數的輸出

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖5.被修改後的「ZwOpenProcess」

結論

趨勢科技表示,這是他們首次觀察到Waterbear試圖隱藏其後門活動。

根據硬編碼的安全產品名稱,趨勢科技認為攻擊者應該十分了解受害者所使用的安全產品,甚至連這些安全產品是如何在客戶端的端點和網路上收集信息的都十分清楚。因為只有這樣,他們才有可能知道具體要掛鉤哪些API。

此外,由於API掛鉤shellcode採用的是通用方法,因此攻擊者之後還可能會使用類似的代碼段來應對其他安全產品,使得Waterbear活動更加難以檢測。

科技分類資訊推薦

任天堂Switch2證件照曝光 配備額定容量5220mAh電池 - 天天要聞

任天堂Switch2證件照曝光 配備額定容量5220mAh電池

【太平洋科技快訊】近日,任天堂全新一代遊戲掌機 Switch 2 已現身 NCC 認證網站,型號為 BEE-001。此次曝光揭示了 Switch 2 的多項關鍵規格。Switch 2 配備了一塊 7.9 英寸的 LCD 屏幕,解析度高達 1920×1080 像素,並支持 HDR10 和 120Hz 刷新率。續航方面,Switch 2 設備配備了額定容量為 5
REDMI平板2曝光 聯發科Helio G100 Ultra晶元加持 - 天天要聞

REDMI平板2曝光 聯發科Helio G100 Ultra晶元加持

【太平洋科技快訊】近日,相關消息提前曝光了小米即將推出的 REDMI 平板 2 的開箱和初步上手體驗。這款平板主打高性價比,搭載聯發科 Helio G100 Ultra 晶元。據悉,聯發科 Helio G100 Ultra 採用台積電 6nm 工藝打造,擁有 2 個 2.2GHz Cortex-A76 核心和 6 個 2.0GHz Cortex-A55 核心
消息稱華為Pura80系列將於6月發布 Ultra配備國產一英寸主攝 - 天天要聞

消息稱華為Pura80系列將於6月發布 Ultra配備國產一英寸主攝

【太平洋科技快訊】近日,據相關消息透露,華為Pura 80系列將於2025年6月正式發布,並於7月初開啟預售。作為Pura系列的迭代產品,Pura 80系列延續了影像旗艦的定位。Pura 80 Ultra配備了5000萬像素的1英寸思特威SC5A0CS主攝,這顆感測器採用了RYYB濾光陣列,相比傳統的RGGB陣列,進光量提升了約40%。此外,該主攝還支持f/
曝谷歌Pixel10系列將採用聯發科T900基帶 支持衛星連接功能 - 天天要聞

曝谷歌Pixel10系列將採用聯發科T900基帶 支持衛星連接功能

【太平洋科技快訊】近日,消息源在深入挖掘了 Adaptive Connectivity Services 應用的代碼之後,在 APK 文件中發現了多款 Pixel 10 機型的相關信息。其中,Pixel 10(代號 GLBW0)、Pixel 10 Pro(代號 G4QUR)和 Pixel 10 Pro XL(代號 GUL82)三款手機明確將延續衛星功能。儘管
阿里雲發布通義靈碼AI IDE 深度適配千問3大模型 - 天天要聞

阿里雲發布通義靈碼AI IDE 深度適配千問3大模型

【太平洋科技快訊】5月30 日,阿里雲宣布旗下 AI 原生開發環境工具——通義靈碼 AI IDE 正式上線。即日起,用戶可在通義靈碼官網免費下載開箱即用。至此,通義靈碼已形成插件和 IDE 兩種產品形態。通義靈碼 AI IDE 深度適配了最新的千問 3 大模型,該模型代碼能力達到業界領先水平。同時,通義靈碼 AI IDE 支持 MCP 協議,...
黑科技滿滿!「尊界超級工廠」首次亮相 - 天天要聞

黑科技滿滿!「尊界超級工廠」首次亮相

5月30日消息,在正在進行的尊界S800發布會上,江淮聯合華為共同打造的「尊界超級工廠」正式亮相,該工廠引入了多項先進技術和工藝。在連接工藝方面,工廠引入了多維精密連接工藝,實現了15種鋼鋁連接方式、298種組合工藝以及5714個連接點的實
激光電視vs液晶電視誰更香?3大優勢3大硬傷,一篇給你講清楚 - 天天要聞

激光電視vs液晶電視誰更香?3大優勢3大硬傷,一篇給你講清楚

同樣是100吋的電視,放在2025年的今天,普通的液晶電視可能只要7000塊,但激光電視卻至少也得上萬,這其中的差價,真的值得我們去付嗎?激光電視和液晶電視,到底誰更香?對比之下,又有哪些優勢和繞不開的缺點,今天,我就用這一篇和大家講清楚。相信看完後,你也能算半個挑選電視的行家了~一、激光電視和液晶電視,誰才是...
衝刺高考的必備神器!華為瀏覽器「高考頻道」太方便啦 - 天天要聞

衝刺高考的必備神器!華為瀏覽器「高考頻道」太方便啦

「一寸光陰一寸金,寸金難買寸光陰!」懂得人都知道這裡面的門道有多深。當年我在最後衝刺高考時,真正感到複習時間不夠用,也弄懂了這句話背後的深意。而當數字化的新時代來臨,同學們僅需一部華為鴻蒙手機,就可以藉助原生應用合理規劃,為高考衝刺添磚加瓦