攻防最前线：sLoad下载器拥有极复杂的环境侦查技术

一种名为sLoad的新型PowerShell下载器正在进行测试，它采用了令人印象深刻的侦察战术和地理围栏技术。

SLoad于2018年5月首次被发现，它通常会传播Ramnit银行木马(但也被观察到抓取Gootkit、DarkVNC、Ursnif和PsiXBot)。它需要在交付有效载荷之前了解目标。

根据Proofpoint分析，sload所在的恶意软件收集有关受感染系统的信息，包括正在运行的进程列表，Outlook信息以及Citrix相关文件，它还将抓取目标设备的截屏。

“这是我们在过去几个月发现的组成事件的另外一部分，威胁演员继续采用具有丰富侦察功能、不易被观察到的载体。通过使用能够评估受感染系统的装载器，参与者可以更加灵活清晰地选择目标，并提高受感染设备与预想目标的匹配度，从而弥补过去几年大规模勒索软件和攻击银行有关的“spray-and-pray”活动中的不足。”Proofpoint的威胁情报负责人Chris Dawson告诉媒体。

Proofpoint追踪到这款恶意软件的源头是他们从2017年初就开始跟踪的威胁组织（Proofpoint内部将其命名为TA554）。TA554在最近的活动中用sLoad专门搭载Ramnit银行木马，他们通常使用各种银行木马瞄准攻击加拿大、英国、意大利的组织。TA554会使用目标国家的语言制作的电子邮件进行攻击，邮件内容（比如邮件主题、主体）会针对目标“个性化定制”。这些电子邮件包含链接到压缩LNK文件或压缩文档的URL。他们经常利用包裹投递或订单通知受害者。

LNK文件或文档宏依次下载下一个阶段——如典型的PowerShell脚本，它可以下载最终的有效负载或sload这样的下载器。”有趣的是，攻击者在感染链的所有环节中使用地理围栏，（即根据通过IP地址确定用户的位置，相应限制对内容的访问），包括下载dropper、PowerShell，sLoad与它指挥和控制（C2）服务器，以及它接收任务或命令的环节。

Proofpoint表示，从5月份开始，出现多个不同的sLoad版本，引入了增量式的变化。例如10月22日，这位演员在zipped-LNK下载步骤中添加了一个面向受害者的着陆程序，这样最初的. lnk文件就可以直接下载sLoad，而不需要额外的PowerShell作为桥梁。

另外，sLoad会标记受感染的系统，令威胁行为者能够更好地为他们看中的有效载荷选择感兴趣的目标。在这种情况下，最终的有效负载通常是一个银行木马，通过它，参与者不仅可以窃取额外的数据，还可以对受感染的个人进行人工浏览器攻击。不过，与sLoad、Marap一样，无论在避开供应商沙箱、将勒索软件交付给一个似乎拥有关键任务的系统上，还是将银行木马交付给最有可能获得回报的系统方面，下载器也为威胁行为者提供了高度的灵活性。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。