一种名为YiBackdoor的新型复杂恶意软件家族已出现在网络安全领域,对全球各地的组织构成重大威胁。
该恶意软件于2025年6月首次被发现,代表着后门技术的一种令人担忧的进化,其具备的高级功能使威胁执行者能够执行任意命令、捕获屏幕截图、收集敏感的系统信息,并在受感染的主机上部署额外的恶意插件。
这种恶意软件的架构与已知威胁<IcedID>和Latrodectus存在明显的代码重叠,这表明威胁行为者团伙之间可能存在合作,或共享开发资源。
与Zloader和Qakbot等臭名昭著的银行木马类似,IcedID最初旨在协助实施金融欺诈,但后来演变成了向勒索软件操作者提供初始访问权限的主要工具。
YiBackdoor似乎遵循着同样的轨迹,有可能成为更具破坏性的网络攻击的入口。
Zscaler的分析师通过全面的威胁追踪活动发现了YiBackdoor,并指出其具备复杂的反分析能力,旨在躲避安全研究人员和自动化沙箱环境的检测。
这种恶意软件展示了先进的虚拟环境检测技术,包括对VMware、Xen、KVM、VirtualBox、微软Hyper-V和Parallels系统的虚拟机监控程序识别。
安全研究人员表示,这种恶意软件有限的部署模式表明,它目前可能处于开发或测试阶段。
然而,其先进的功能以及与已知恶意软件家族的关联表明,随着开发的推进,可能会出现更广泛的部署活动。
威胁行为者在配置文件中使用本地IP地址,进一步支持了YiBackdoor仍在积极开发中的评估。
代码注入与持久化机制
YiBackdoor采用了一种复杂的进程注入技术,这使其有别于传统的恶意软件家族。
这种恶意软件采用独特的方法在合法的系统进程中实现代码执行,尤其针对svchost.exe进行注入操作。
在初始化阶段,YiBackdoor会通过将其当前内存地址与已加载的动态链接库(DLL)范围进行比对,来执行一项关键检查,以确定自身是否已在注入进程中运行。
如果恶意软件检测到自身尚未注入,它会创建一个新的svchost.exe进程并开始注入序列。
该恶意软件在目标进程内分配内存,并将其恶意代码复制到新创建的内存区域中。
YiBackdoor注入技术最显著的特点是用自定义汇编代码对Windows API函数RtlExitUserProcess进行补丁操作。
当该函数被调用时,此补丁会将执行流程重定向到YiBackdoor的入口点,从而有效地劫持进程终止序列。
以下代码展示了恶意软件所使用的虚拟机监控程序检测机制:-
[[nodiscard]] bool isHyperVisor()
{
uint64_t timer1 = 0;
uint64_t timer2 = 0;
int loop_counter = 16;
int cpuInfo[4] = { 0 };
while (loop_counter)
{
SwitchToThread();
uint64_t first_rdtsc_timer_value = __rdtsc();
__cpuid(cpuInfo, 1);
timer1 += __rdtsc() - first_rdtsc_timer_value;
SwitchToThread();
uint64_t second_rdtsc = __rdtsc();
uint64_t third_rdtsc = __rdtsc();
timer2 += ((third_rdtsc - second_rdtsc));
loop_counter--;
}
return (timer1 > 20);
}持久化的建立是通过操纵Windows注册表实现的,其中YiBackdoor会将自身复制到一个随机命名的目录,并使用regsvr32.exe创建注册表项,以便在系统启动时自动执行。
这种恶意软件利用微软的线性同余生成器算法为注册表项名称生成伪随机值,这使得安全产品通过静态签名进行检测变得更具挑战性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
