新型BRICKSTORM隐秘后门攻击科技与法律行业

BRICKSTORM已成为一种极具隐蔽性的后门程序，专门针对科技和法律行业的机构，它利用信任关系渗透关键网络。

该恶意软件于2025年年中首次被发现，它利用多阶段加载器和秘密通信渠道来躲避检测。

早期受害者报告称，远程桌面会话中出现了异常的延迟，这促使人们展开更深入的法医调查。

随着活动的推进，BRICKSTORM展现出了融入合法系统进程的显著能力，这使得事件响应工作变得复杂，并延长了潜伏时间。

初步分析显示，BRICKSTORM的主要传播途径是带有武器化文档附件的鱼叉式钓鱼邮件。

这些附件利用了一个被广泛使用的文档渲染引擎中的零日漏洞，一旦被打开就会悄无声息地部署一个轻量级加载器。

在多个案例中，法律行业的机构指出，案件摘要或合同修订具有作为诱饵的吸引力。

加载器随后从受感染的云存储服务中获取加密的有效载荷，在启动横向移动前建立隐秘的立足点。

谷歌云的分析师在其基础设施监控平台上观察到异常流量模式后，识别出了BRICKSTORM。

通过将来自端点传感器的遥测数据与网络日志进行关联，研究人员发现了使用非标准端口连接到异常域名的情况。

这些发现加速了各行业计算机应急响应团队（CERTs）之间的威胁情报共享，最终将该后门程序归属于一个此前未曾出现的模块化恶意软件家族。

BRICKSTORM的一个典型特点是其模块化设计，这使得操作人员能够根据目标环境调整功能。

核心模块包括系统侦察、凭证收集和安全通信渠道。部署后，BRICKSTORM会枚举正在运行的进程和开放的网络套接字，向操作人员提示高价值目标和活跃的安全工具。

当找到合适的目标时，后门程序会将一个侦察模块注入内存，并通过内存中的进程转储来提取凭证。

所有数据都通过HTTP-over-DNS隧道被窃取，从而有效绕过传统的出口过滤规则。

持久化策略

深入研究BRICKSTORM的持久化机制，会发现一种巧妙的方法，该方法依赖于动态注册的定时任务。

该后门程序不会创建永久性的注册表项，而是生成一个临时的计划任务，其名称旨在模仿合法的系统维护作业。

每次系统启动时，该任务都会执行一条PowerShell命令，从存储在备用数据流中的分段碎片中重建加载程序。

这种技术不仅能将后门组件隐藏在良性文件中，还会在每次运行时轮换片段位置，从而避免留下静态的攻击特征。

$parts = Get-Item -Path "C:\Windows\System32\drivers\etc\hosts":frag*
$loader = ""
foreach ($p in $parts) {
    $loader += ([IO.File]::ReadAllText($p.Name))
}
Invoke-Expression $loader

通过利用备用数据流，BRICKSTORM避开了基于文件的防御措施，并在磁盘上留下极少痕迹。

事件响应人员常常忽视ADS条目，这使得后门程序能够在重启后持续存在而不被发现。

此外，动态任务名称的使用使得日志分析过程中难以进行关联，因为每次部署可能看起来都不同。

了解这些策略对于防御者来说至关重要，他们的目标是制定能够实时发现异常计划任务和ADS活动的检测规则。