最近几周,一种名为 ZipLine 活动的复杂网络钓鱼活动针对美国制造公司,利用供应链关键性和看似合法的业务通信来部署名为 MixShell 的高级内存植入物。
该威胁行为者通过公司“联系我们”网络表单发起联系,促使受害者首先联系,从而扭转了传统的网络钓鱼工作流程。
一旦建立对话,攻击者就会冒充潜在合作伙伴,与目标进行旷日持久的电子邮件通信(通常持续两周),然后提供托管在受信任的平台即服务域上的武器化 ZIP 存档。
ZIP 存档隐藏了一个恶意 .lnk 文件和嵌入式 PowerShell 脚本,它通过在有效负载旁边包含无害的 PDF 和 DOCX 诱饵文件来混淆其真正目的。
执行后,.lnk 文件会触发一个加载程序,该加载程序扫描存档的通用目录,提取以标记分隔的 PowerShell 脚本,并将其直接注入内存,通过强制绕过 AMSI 检查。AmsiUtils.amsiInitFailed = $true
Picus Security 分析师认为,这种内存驻留方法是 MixShell 隐身的关键因素,无需接触磁盘即可实现快速、无文件的执行。
MixShell 的自定义 shellcode 使用反射和 API 在内存中展开,通过基于 ROR4 的自定义哈希算法动态解析 Windows API 函数。System.Reflection.Emit
植入物的配置立即存储在 XOR 加密、十六进制编码块中的代码部分之后,为命令和控制 (C2) 提供 DNS TXT 隧道参数。
这些参数包括前置和追加标记、异或键和域信息,所有这些都有助于通过 DNS 查询进行隐蔽数据交换。
如果 DNS 在六次尝试后失败,植入程序将转向 HTTP 回退,保持相同的加密和成帧格式,以将恶意流量与合法的 Web 请求混合在一起。
除了初始执行之外,MixShell 还通过劫持 COM 对象的 TypeLib 注册表项来建立持久性。
PowerShell 脚本写入名为 ProgramData 目录的恶意 XML scriptlet,并将与 Internet Explorer 的 Web 浏览器控件关联的 CLSID 指向此文件。Udate_Srv.sct{EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}
每次系统重新启动或当Explorer.exe触发被劫持的 COM 对象时,scriptlet 都会启动 ,重新运行有效负载,而无需进一步的用户交互。cmd[.]exe /K set X=1&{shortcut}
感染机制深入探讨
ZipLine 的感染链是社会工程和技术规避的大师班。
攻击者首先向目标网站提交基于表单的查询(通常以“人工智能影响评估”为借口)。一旦受害者做出响应,攻击者就会请求保密协议并提供指向合法 Herokuapp 子域上的 ZIP 文件的链接。
在存档中,PowerShell 脚本会找到嵌入的有效负载标记,提取 shellcode blob,并使用内存中方法通过并直接调用有效负载来分配可执行页面。xFIQCVVirtualAlloc
MixShell 的 ROR4 哈希例程 ( 和 ) 迭代大写转换的 API 名称,生成标识符以在运行时解析函数指针。def api_hashdef ror4
这种动态分辨率避免了静态导入,从而使基于签名的常见检测无效。
通过将所有恶意作保存在易失性内存中,MixShell 只留下最少的取证伪影,这给事件响应人员带来了挑战,要求事件响应人员在数据泄露或横向移动发生之前检测和修复受感染的主机。
