一个此前未知的高级持续性威胁 (APT) 组织发布了一种名为EggStreme的新型无文件恶意软件框架,针对战略组织开展了一场高度针对性的间谍活动。
EggStreme 于 2024 年初出现,它利用合法的 Windows Mail 可执行文件 (WinMail[.]exe) 来侧载恶意库,使攻击者无需将解密的有效负载写入磁盘即可实现内存中代码执行。
这种技术逃避了传统的基于文件的防御措施,并引起了敏感领域安全团队的警惕。
当通过暴露的 SMB 共享传递的登录脚本从用户的 AppData 目录执行 WinMail[.]exe 时,攻击链就开始了。
该二进制文件没有加载真正的 .NET 运行时库,而是无意中加载了包含第一阶段加载器的mscorsvc[.]dll 。
一旦加载,此DLLcmd[.]exe就会通过调用和创建到命令和控制 (C2) 服务器的读/写管道来建立反向 shell 。
然后通过劫持以提升的权限运行的 Windows 服务来协调横向移动和持久性。
Bitdefender 分析师指出,EggStreme 框架由多个紧密集成的组件组成,每个组件负责操作的不同阶段。
EggStremeLoader 注册为一项服务,它读取加密的有效载荷文件(ielowutil[.]exe[.]mui)并提取另外两层:反射加载器和核心后门代理。
通过利用反射注入到 winlogon.exe 或 explorer.exe 等受信任的进程,对手可以确保在内存中持续执行。
这种多阶段方法,每一层仅在需要时才解密和注入,使检测变得极其困难。
在最终形式中,EggStremeAgent 建立了一个基于 gRPC 的通信通道,该通道由相互 TLS 保护,并使用共享恶意证书颁发机构颁发的证书进行身份验证。
一旦后门进入内存,它的 58 个命令就可以实现远程指纹识别、文件操作、注册表操作、进程注入以及复杂的横向移动,例如 RPC 扫描和基于 WMIC 的远程进程创建。
感染机制和 DLL 侧加载
EggStreme 的初始感染利用微妙但强大的代码片段来劫持 Windows 库的搜索顺序。
通过在 WinMail.exe 中放置恶意 DLL,恶意软件会强制合法二进制文件加载攻击者控制的代码。以下是部分典型代码片段:
// Pseudo-code illustrating DLL sideloading
HANDLE hModule = LoadLibraryA("mscorsvc[.]dll");
if (hModule) {
FARPROC pFunc = GetProcAddress(hModule, "CorBindToRuntime");
if (pFunc) {
pFunc();
}
}当 WinMail.exe 调用时LoadLibraryA("mscorsvc[.]dll"),Windows 加载程序首先搜索本地目录,查找恶意 DLL 而不是系统版本。
加载程序使用 RC4 密钥("Cookies")解密其有效载荷,检查磁盘上的配置%APPDATA%\Microsoft\Windows\Cookies\Cookies[.]dat,并相应地更新其内存中的 C2 列表。
初始握手包括 32 字节 RC4 加密密钥交换,确保在创建 shell 之前的完整性。
持久性是通过两种互补的方法实现的。在某些情况下,攻击者会修改 ServiceDLL 注册表值,使其HKLM\SYSTEM\CurrentControlSet\Services\<ServiceName>\Parameters指向恶意 DLL。
在其他情况下,它们替换服务二进制文件并授予权限SeDebugPrivilege,允许恶意负载在受信任的 Windows 服务的上下文中运行。
这两种方法都能确保 EggStreme 组件在每次重启时重新加载,从而保持弹性立足点。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
