攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

栏目: 编程工具 · 发布时间: 6年前

攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

一种名为sLoad的新型PowerShell下载器正在进行测试,它采用了令人印象深刻的侦察战术和地理围栏技术。

SLoad于2018年5月首次被发现,它通常会传播Ramnit银行木马(但也被观察到抓取Gootkit、DarkVNC、Ursnif和PsiXBot)。它需要在交付有效载荷之前了解目标。

根据Proofpoint分析,sload所在的恶意软件收集有关受感染系统的信息,包括正在运行的进程列表,Outlook信息以及Citrix相关文件,它还将抓取目标设备的截屏。

“这是我们在过去几个月发现的组成事件的另外一部分,威胁演员继续采用具有丰富侦察功能、不易被观察到的载体。通过使用能够评估受感染系统的装载器,参与者可以更加灵活清晰地选择目标,并提高受感染设备与预想目标的匹配度,从而弥补过去几年大规模勒索软件和攻击银行有关的“spray-and-pray”活动中的不足。”Proofpoint的威胁情报负责人Chris Dawson告诉媒体。

Proofpoint追踪到这款恶意软件的源头是他们从2017年初就开始跟踪的威胁组织(Proofpoint内部将其命名为TA554)。TA554在最近的活动中用sLoad专门搭载Ramnit银行木马,他们通常使用各种银行木马瞄准攻击加拿大、英国、意大利的组织。TA554会使用目标国家的语言制作的电子邮件进行攻击,邮件内容(比如邮件主题、主体)会针对目标“个性化定制”。这些电子邮件包含链接到压缩LNK文件或压缩文档的URL。他们经常利用包裹投递或订单通知受害者。

攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

LNK文件或文档宏依次下载下一个阶段——如典型的PowerShell脚本,它可以下载最终的有效负载或sload这样的下载器。”有趣的是,攻击者在感染链的所有环节中使用地理围栏,(即根据通过IP地址确定用户的位置,相应限制对内容的访问),包括下载dropper、PowerShell,sLoad与它指挥和控制(C2)服务器,以及它接收任务或命令的环节。

Proofpoint表示,从5月份开始,出现多个不同的sLoad版本,引入了增量式的变化。例如10月22日,这位演员在zipped-LNK下载步骤中添加了一个面向受害者的着陆程序,这样最初的. lnk文件就可以直接下载sLoad,而不需要额外的PowerShell作为桥梁。

攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

另外,sLoad会标记受感染的系统,令威胁行为者能够更好地为他们看中的有效载荷选择感兴趣的目标。在这种情况下,最终的有效负载通常是一个银行木马,通过它,参与者不仅可以窃取额外的数据,还可以对受感染的个人进行人工浏览器攻击。不过,与sLoad、Marap一样,无论在避开供应商沙箱、将勒索软件交付给一个似乎拥有关键任务的系统上,还是将银行木马交付给最有可能获得回报的系统方面,下载器也为威胁行为者提供了高度的灵活性。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《攻防最前线:sLoad下载器拥有极复杂的环境侦查技术》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

失业的程序员

失业的程序员

沈逸 / 2014-5-1 / 39.00元

这是一个程序员从失业到自行创业的奋斗历程,虽然囧事连连、过程曲折,却充满了趣味。本书以作者的真实创业经历为主线,文字幽默诙谐,情节生动真实,包括了招聘、团队管理和用户公关,以及技术架构设计、核心代码编写、商务谈判、项目运作等场景经验。 从初期的创业伙伴、领路人,到商业竞争对手,各种复杂的关系在各个关键时刻却都发生了意想不到的逆转。在历经千辛万苦,眼看快要成功时,主人公却几乎再次失业。 ......一起来看看 《失业的程序员》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

SHA 加密
SHA 加密

SHA 加密工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具