攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

栏目: 编程工具 · 发布时间: 6年前

攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

一种名为sLoad的新型PowerShell下载器正在进行测试,它采用了令人印象深刻的侦察战术和地理围栏技术。

SLoad于2018年5月首次被发现,它通常会传播Ramnit银行木马(但也被观察到抓取Gootkit、DarkVNC、Ursnif和PsiXBot)。它需要在交付有效载荷之前了解目标。

根据Proofpoint分析,sload所在的恶意软件收集有关受感染系统的信息,包括正在运行的进程列表,Outlook信息以及Citrix相关文件,它还将抓取目标设备的截屏。

“这是我们在过去几个月发现的组成事件的另外一部分,威胁演员继续采用具有丰富侦察功能、不易被观察到的载体。通过使用能够评估受感染系统的装载器,参与者可以更加灵活清晰地选择目标,并提高受感染设备与预想目标的匹配度,从而弥补过去几年大规模勒索软件和攻击银行有关的“spray-and-pray”活动中的不足。”Proofpoint的威胁情报负责人Chris Dawson告诉媒体。

Proofpoint追踪到这款恶意软件的源头是他们从2017年初就开始跟踪的威胁组织(Proofpoint内部将其命名为TA554)。TA554在最近的活动中用sLoad专门搭载Ramnit银行木马,他们通常使用各种银行木马瞄准攻击加拿大、英国、意大利的组织。TA554会使用目标国家的语言制作的电子邮件进行攻击,邮件内容(比如邮件主题、主体)会针对目标“个性化定制”。这些电子邮件包含链接到压缩LNK文件或压缩文档的URL。他们经常利用包裹投递或订单通知受害者。

攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

LNK文件或文档宏依次下载下一个阶段——如典型的PowerShell脚本,它可以下载最终的有效负载或sload这样的下载器。”有趣的是,攻击者在感染链的所有环节中使用地理围栏,(即根据通过IP地址确定用户的位置,相应限制对内容的访问),包括下载dropper、PowerShell,sLoad与它指挥和控制(C2)服务器,以及它接收任务或命令的环节。

Proofpoint表示,从5月份开始,出现多个不同的sLoad版本,引入了增量式的变化。例如10月22日,这位演员在zipped-LNK下载步骤中添加了一个面向受害者的着陆程序,这样最初的. lnk文件就可以直接下载sLoad,而不需要额外的PowerShell作为桥梁。

攻防最前线:sLoad下载器拥有极复杂的环境侦查技术

另外,sLoad会标记受感染的系统,令威胁行为者能够更好地为他们看中的有效载荷选择感兴趣的目标。在这种情况下,最终的有效负载通常是一个银行木马,通过它,参与者不仅可以窃取额外的数据,还可以对受感染的个人进行人工浏览器攻击。不过,与sLoad、Marap一样,无论在避开供应商沙箱、将勒索软件交付给一个似乎拥有关键任务的系统上,还是将银行木马交付给最有可能获得回报的系统方面,下载器也为威胁行为者提供了高度的灵活性。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《攻防最前线:sLoad下载器拥有极复杂的环境侦查技术》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

火球

火球

张传波 / 2012-2 / 39.80元

《火球:UML大战需求分析》融合UML、非UML、需求分析及需求管理等各方面的知识,帮助读者解决UML业界问题、需求分析及需求管理问题。全书主要介绍UML的基本语法、面向对象的分析方法、应用UML进行需求分析的最佳实践及软件需求管理的最佳实践四个方面的内容。 《火球:UML大战需求分析》各章以问题为引子,通过案例、练习、思考和分析等,由浅入深地逐步介绍UML综合应用的知识。《火球:UML大战......一起来看看 《火球》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器