新闻快讯
< >

攻击者如何利用U盘传送恶意软件实施无文件攻击

E安全9月1日讯 趋势科技8月初分析了无文件后门 JS_POWMET,攻击分子使用JS_POWMET.DE(滥用了各种合法功能的脚本)在目标系统上以无文件形式安装后门BKDR_ANDROM.ETIN。

起初,趋势科技并不清楚威胁如何到达目标设备,研究人员当时猜想是用户下载或由其它恶意软件丢给目标设备。

最近,趋势科技研究发现之前的猜想是错误的,JS_POWMET竟然是通过U盘感染目标。

无文件后门 JS_POWMET技术细节

U盘包含两个恶意文件( 趋势科技检测为TROJ_ANDROM.SVN),如下:

  • addddddadadaaddaaddaaaadadddddaddadaaaaadaddaa.addddddadadaaddaaddaaaadadddddadda

  • IndexerVolumeGuid

U盘中的autorun.inf 文件可能被修改运行上述第一个文件,该文件能解密第二个文件的内容,这两个文件之后载入内存运行。解密器的文件名充当该实例中的加密密钥,被感染系统上实际并未保存文件。

解密代码负责创建自动启动注册表项。趋势科技指出,感染的最终结果是安装后门BKDR_ANDROM.ETIN

攻击者利用U盘传送恶意软件实施无文件攻击-E安全

感染链

研究人员强调了两点

第一,Windows版本不同,过程会有差异,Windows 10的过程相对简单:创建注册表项,下载并在被感染系统上执行后门。然而Windows 10之前的Windows版本会多一个步骤:第二个后门(趋势科技检测为BKDR_ANDROM.SMRA)会丢在 %AppData%文件夹中,其文件名为ee{8 random characters}.exe,同时还会在用户启动文件夹中创建快捷方式,确保第二个后门自动执行。

第二,创建的注册表项中包含的URL不同:其中一个URL用于Windows 10,而另一个用于Windows 10之前的版本。虽然研究人员未发现实际行为有任何不同之处,但攻击者可能会根据用户的操作系统发起不同的攻击。

目前尚不清楚第二个后门安装相对简单的原因,有可能是为了转移注意力,因为相比第一个无文件后门,研究人员或用户更容易发现第二个后门,然而移除第二个后门可能会让第一个更隐秘的无文件威胁不易被发现。

此类攻击相关的SHA-256哈希如下:

  • 24bc305961cf033f78bc1a162c41a7c1a53836a6ccbb197a5669b5f8a9f5251d

  • 89dd71692bce3bb51a053570eb87fb5a9b5e1513fc1741f51b785e1137bd3cd1

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。