网络安全研究人员发现了一种复杂的恶意软件活动,该活动利用 SVG(可缩放矢量图形)文件和电子邮件附件来分发危险的远程访问木马,特别是 XWorm 和 Remcos RAT。
这种新兴威胁代表了攻击方法的重大演变,因为威胁行为者越来越多地转向非传统文件格式来绕过传统的安全防御。
该活动采用多种传递媒介,包括包含恶意 EML 文件的直接电子邮件附件和托管在 ImageKit 等受信任平台上的 URL。
这些 ZIP 档案包含高度混淆的 BAT 脚本,用作初始感染阶段,利用先进技术来规避静态检测机制。
该恶意软件的无文件执行方法使其能够完全在内存中运行,这使得传统端点保护解决方案的检测更具挑战性。
Seqrite 研究人员在分析过程中发现了两种不同的活动变体,揭示了不断变化的威胁形势,攻击者不断完善其技术。
第一个活动直接通过电子邮件附件传递 BAT 脚本,而第二个活动则引入嵌入了 JavaScript 的 SVG 文件作为一种新颖的传递机制。
这些 SVG 文件显示为合法图像文件,但包含嵌入式脚本,当在易受攻击的环境中呈现或嵌入网络钓鱼页面时,这些脚本会自动触发恶意负载下载。
攻击链的执行方法非常复杂。提取初始 ZIP 文件后,受害者会遇到一个严重混淆的 BAT 脚本,该脚本旨在在执行复杂的恶意作时看起来是良性的。
该脚本利用 PowerShell 执行内存中有效负载注入,有效绕过传统的基于文件的检测系统。
高级规避和持久机制
该恶意软件采用针对核心 Windows 安全机制的复杂规避技术。PowerShell 组件通过动态 .NET 反射和委托创建以编程方式禁用 AMSI(反恶意软件扫描接口)和 ETW(Windows 事件跟踪)。
该攻击解析本机函数,包括 GetProcAddress、GetModuleHandle、VirtualProtect 和 AmsiInitialize,以在内存中定位和修补 AmsiScanBuffer 函数。
持久性机制涉及在 Windows 启动文件夹中创建 BAT 文件,确保在系统重新启动或用户登录时自动执行。
PowerShell 脚本搜索隐藏在批处理文件注释中的 Base64 编码有效负载,特别是针对以三冒号标记为前缀的行。
这些有效负载经历多层解密,包括使用硬编码密钥的 AES 解密和最终执行前的 GZIP 解压缩。
加载程序组件充当关键中介,使用 Assembly.Load作直接在内存中提取和执行嵌入式 .NET 程序集。
这种方法消除了创建基于磁盘的文件的需要,显着降低了检测概率,同时保持了部署 XWorm 和 Remcos RAT 有效负载的完整作能力。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
