Securonix 研究人员发现,不明攻击者正试图诱骗 Windows 用户启动一个带有预配置后门的定制 Linux 虚拟机(VM)。
攻击活动
他们认为,攻击始于一封网络钓鱼电子邮件,但无法确定目标受害者。
该电子邮件包含一个指向异常大的 ZIP 文件(285 MB)的链接,其名称 OneAmerica Survey.zip 指向了可能的诱惑:由提供金融服务的美国公司 OneAmerica Financial 发起的一项调查。
研究人员解释说:“当用户解压缩时,会看到一个名为‘OneAmerica Survey’的文件(快捷方式)和一个包含整个 QEMU 安装目录的‘data’目录。”
研究人员解释说,”如果用户点击快捷方式文件,就会启动一个进程:
- ZIP 文件被 “解压缩”,其内容被放入用户的配置文件目录下一个名为 “datax ”的目录中
- 执行批处理 (BAT) 文件,并显示一个诱饵图像,提示 “服务器内部出错”,同时在后台执行一个(重命名的)QEMU 进程和命令行,以启动模拟的 Tiny Core Linux 环境
定制的 Linux 虚拟机旨在通过启动 SSH 连接在主机上创建一个交互式 shell(本质上是后门),攻击者可以通过该 shell 下载更多恶意有效载荷:
- 下载其他恶意有效载荷
- 在机器上安装其他工具
- 重命名文件
- 修改系统配置
- 通过系统和用户枚举进行基本侦察
- 渗出数据
“就像下棋一样,攻击者在准备他们的环境时就考虑到了策略。他们系统地安装、测试和执行了多个有效载荷和配置,每个都是为下一阶段做准备,”研究人员指出。
研究人员指出:“使用 bootlocal.sh 和 SSH 密钥表明,他们的目标是在机器上建立可靠的存在。有几次,他们从不同的 URL 下载了 crondx 文件(预配置 Chisel 客户端)。原因不明,但我们推测他们可能在修改有效载荷,直到其功能达到预期。”
诱饵镜像(来源:Securonix)
Chisel 客户端经过预配置,可通过网络套接字自动连接到指定的命令与控制(C2)服务器,从而打开一个持久后门,攻击者可通过该后门访问被入侵的环境。
逃避检测
传统的防病毒解决方案通常无法(或默认情况下不会)扫描超大文件,也无法查看仿真 Linux 环境中发生的情况。
研究人员补充说:“Chisel 的设计使其在创建隐蔽的通信渠道和穿越防火墙隧道方面尤为有效,而且往往能躲过网络监控工具的监控。”
“攻击者对 QEMU 和 Chisel 等合法软件的依赖增加了额外的规避层,因为这些工具在许多环境中都不太可能触发警报。”
Securonix 分享了与此活动相关的危害指标,并建议企业监控常见的恶意软件暂存目录,监控从异常位置执行合法软件的实例,使用强大的端点日志来帮助 PowerShell 检测。