一种名为 Backdoor.WIN32.Buterat 的复杂后门恶意软件已成为对企业网络的重大威胁,它展示了先进的持久性技术和隐身功能,使攻击者能够长期未经授权访问受感染的系统。
该恶意软件已被识别为通过精心策划的网络钓鱼活动、恶意电子邮件附件和木马软件下载来针对政府和企业环境。
与专注于立即损坏或数据提取的传统恶意软件不同,Buterat 优先考虑寿命和秘密行动。
后门与远程命令和控制服务器建立加密通信通道,允许威胁行为者执行任意命令、部署额外的有效负载以及在网络基础设施中横向移动,同时规避传统的检测机制。
Point Wild 研究人员鉴定了该恶意软件样本的 SHA-256 哈希值 f50ec4cf0d0472a3e40ff8b9d713fb0995e648ecedf15082a88b6e6f1789cdab,揭示了其使用 Borland Delphi 和复杂的混淆技术进行编译。
该恶意软件将其进程伪装在合法的系统任务下,并修改注册表项以实现系统重新启动后的持久性。
先进的线程作和注入技术
Buterat 采用复杂的线程作方法,使其有别于典型的后门实现。
该恶意软件利用混淆的 API 调用(特别是 SetThreadContext 和 ResumeThread)来实现对线程执行的精确控制,而无需创建新进程或更改入口点。
该技术使后门能够无缝劫持现有线程,使行为分析系统的检测更具挑战性。
SetThreadContext API 为攻击者提供了对线程状态的精细控制,使他们能够将恶意代码注入合法进程,而不会触发进程创建警报。
在线程上下文修改后,恶意软件使用 ResumeThread 激活执行流已更改的受损线程。
这种方法代表了一种复杂的规避机制,绕过了企业环境中通常部署的轻量级行为检测系统。
在感染过程中,Buterat 会在用户目录中删除多个可执行文件,包括 amhost.exe、bmhost.exe、cmhost.exe、dmhost.exe 和 lqL1gG.exe,从而建立多个持久点。
该恶意软件尝试在 http://ginomp3.mooo.com/ 与其命令和控制服务器进行通信,从而启用数据泄露和额外有效负载部署的远程控制功能。
安全团队应监控这些特定的入侵指标,并实施网络级阻止,以防止与已知恶意基础设施进行通信。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
