網路間諜病毒Waterbear現新變種,自帶逃避查殺功能

2020年01月03日12:50:08 科技 1521


網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

BlackTech,一個主要以東亞地區(尤其是中國台灣,也包括中國香港和日本)的技術公司和政府機構為攻擊目標的網路間諜組織,且並被認為是惡意軟體「Waterbear」的幕後操控者。

Waterbear是一種模塊化惡意軟體,已經存在了多年,其載入模塊能夠通過從命令和控制(C2)伺服器下載有效載荷來實現不同的功能。在大多數情況下,有效載荷都是後門程序,可以接收和載入其他模塊。

最近,網路安全公司趨勢科技(Trend Micro)捕獲了Waterbear的一個最新變種,其載入模塊不僅會下載第一階段後門,而且還會下載一個會將代碼注入特定的安全產品中進行API掛鉤來隱藏第一階段後門惡意行為的有效載荷。

舊版本Waterbear

如上所述,Waterbear具有模塊化的結構,通過載入模塊(DLL文件)解密並執行RC4加密的有效載荷。一般情況下,有效載荷都是第一階段後門,用於從攻擊者那裡接收並載入其他可執行文件。

根據功能的不同,第一階段後門大致可分為兩種:第一種,連接C2伺服器;第二種,偵聽特定埠。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖1.典型的Waterbear感染鏈

如上圖所示,典型的Waterbear感染從一個惡意DLL載入程序開始,而涉及到的觸發技術也分為兩種:第一種,修改合法的伺服器應用程序以導入和載入DLL載入器;第二種,執行虛擬DLL劫持和DLL端載入。

為了逃避安全檢測,有效載荷會在執行實際的惡意常式之前對所有的函數塊進行加密,然後只會在需要使用函數時,解密相應函數並執行,而之後則會再次對函數加密。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖2.解密-執行-加密函數

新版本Waterbear

與之間的版本不同,趨勢科技此次捕獲的新版本Waterbear載入了兩個有效載荷。其中,第一個有效載荷會將代碼注入特定的安全產品中進行API掛鉤來隱藏其惡意行為,而第二個有效載荷則是典型的Waterbear第一階段後門。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖3.新的Waterbear感染鏈

兩種有效載荷均經過加密處理,存儲在受感染計算機的磁碟上,並注入到同一服務(如LanmanServer)中。

趨勢科技表示,新版本Waterbear的載入程序首先會試圖從文件中讀取並解密有效載荷,然後對其解密,並按如下條件執行線程注入:

1.如果在磁碟上找不到第一個有效載荷,則將終止載入程序而不會載入第二個有效載荷(即第一階段後門)。

2.如果第一個有效載荷被成功解密並注入到服務中,那麼不管第一個線程發生了什麼,第二個有效載荷也將被載入並注入。

3.在第一個注入的線程中,如果找不到來自特定安全產品的必要可執行文件,那麼該線程將被終止,而不會執行其他惡意常式。需要注意的是,只有線程將被終止,而服務仍將運行。

為了隱藏第一階段後門,第一個有效載荷使用了API掛鉤技術來逃避特定安全產品的檢測。具體來說,它掛鉤了兩個不同的API,即「ZwOpenProcess」和「GetExtendedTcpTable」,以隱藏其特定進程。

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖4.「ZwOpenProcess」的函數掛鉤,用於檢查和修改函數的輸出

網路間諜病毒Waterbear現新變種,自帶逃避查殺功能 - 天天要聞

圖5.被修改後的「ZwOpenProcess」

結論

趨勢科技表示,這是他們首次觀察到Waterbear試圖隱藏其後門活動。

根據硬編碼的安全產品名稱,趨勢科技認為攻擊者應該十分了解受害者所使用的安全產品,甚至連這些安全產品是如何在客戶端的端點和網路上收集信息的都十分清楚。因為只有這樣,他們才有可能知道具體要掛鉤哪些API。

此外,由於API掛鉤shellcode採用的是通用方法,因此攻擊者之後還可能會使用類似的代碼段來應對其他安全產品,使得Waterbear活動更加難以檢測。

科技分類資訊推薦

618商家動員啟動 紅利電商平台發布經營方法論 - 天天要聞

618商家動員啟動 紅利電商平台發布經營方法論

封面新聞記者 蔡世奇 吳雨佳5月9日,得物在杭州舉行的「Young新品主場」商家大會上,首次發布品牌經營方法論,為品牌商家明確提出從新品冷啟動到打爆,再到全生命周期穩定長銷的有效增長路徑。
從智造到智行,北京科博會解碼智慧出行全鏈條創新 - 天天要聞

從智造到智行,北京科博會解碼智慧出行全鏈條創新

第二十七屆中國北京國際科技產業博覽會(簡稱「北京科博會」)釋放「新未來」信號,是創新技術的競技場。新京報貝殼財經記者探訪北京科博會現場發現,從車聯網、智能網聯到賦能整車,再到氫能、鈉離子電池等新能源技術的突破,從智造到智行,北京科博會正在上演智慧出行與綠色未來的變革。智慧巡查車自動化檢測只需10秒在北...
機器人、無人車、修文物,北京市職教社攜院校企業首次亮相科博會 - 天天要聞

機器人、無人車、修文物,北京市職教社攜院校企業首次亮相科博會

第二十七屆中國北京國際科技產業博覽會正在舉辦,5月9日,北京市中華職業教育社首次以組團形式亮相科博會,組織北京科技職業大學、北京交通運輸職業學院、學大教育等6家院校及企業參展。聚焦「科技引領 職教新行」主題,通過實物展示、圖文介紹、現場體驗三種模式進行展示,涵蓋機器人、無人車、文物修復等多個領域,展現職...
阿維塔公布風阻係數測試結果:120kph測試風速下風阻係數Cd:0.217 - 天天要聞

阿維塔公布風阻係數測試結果:120kph測試風速下風阻係數Cd:0.217

近日,有博主發布視頻稱,某國產電車(阿維塔12)風阻係數「屢破紀錄」,但實測發現「和20年前燃油車水平一樣」。該博主表示,阿維塔12測出風阻係數為0.28cd,遠高於此前阿維塔宣稱的0.21cd。對此,阿維塔曾多次發文回應,稱該消息不實,並表示將公開測試。5月9日晚,阿維塔官微公布風阻係數測試結果。「中國汽研權威機構實...
研發投入超過凈利潤2.5倍 科創板「含科量」持續上升 - 天天要聞

研發投入超過凈利潤2.5倍 科創板「含科量」持續上升

圖片來源:視覺中國隨著年報收官,科創板「含科量」亦浮出水面。根據上交所統計,科創板全年研發投入總額達到1680.78億元,超過凈利潤2.5倍,同比增長6.4%,最近3年複合增速達10.7%。值得一提的是,科創板未盈利企業積極發揮科技創新主體作用,持續加大研發投入力度,帶動自主創新能力不斷提升。「含科量」不斷增強2024年,...
數毛社:《GTA6》主機可能鎖30幀 - 天天要聞

數毛社:《GTA6》主機可能鎖30幀

Rockstar Games近日發布的《GTA6》第二支預告展示了令人驚嘆的畫面細節和複雜的開放世界,但技術專家根據對預告片的分析預測,遊戲在主機上的運行幀率可能無法達到60FPS。Digital Foundry的專家分析,有跡象表明,《GTA6》在發售時很可能將以30幀/秒(FPS)運行,至少在主機平台上是如此。Digital Foundry團隊指出,在分
用過一次免密支付後商家可隨時扣款?微信、支付寶緊急回應 - 天天要聞

用過一次免密支付後商家可隨時扣款?微信、支付寶緊急回應

今天,「自動扣款」相關話題登上熱搜。有網友發帖稱開通某個商家或APP的「先用後付」或「離店再付」之類的自動扣款服務後是給了對方直接扣款的授權,這一授權沒有期限,用過一次免密支付後商家隨時可以直接從賬戶扣款。不少網友擔心自己的資金安全。
梧州市網路安全和文化交流協會關於公開招募會員的公告 - 天天要聞

梧州市網路安全和文化交流協會關於公開招募會員的公告

梧州市網路安全和文化交流協會關於公開招募會員的公告為進一步凝聚網路行業力量、搭建交流平台,推動我市互聯網行業健康發展,梧州市網路安全和文化交流協會決定面向社會公開招募會員。具體公告如下:一協會簡介本協會成立於2020年,是由市委網信辦主管的非營利性社會組織。協會致力於為全市網路安全、網路文化和自媒體從業...