安全研究人员最近发现,使用多态HTML应用程序(HTA)和多态后门逃避检测的恶意软件活动。 正如卡巴斯基研究人员所报道的那样,该活动可以追溯到高级持续威胁(APT)小组Cloud Atlas(又名Inception),该组织的活动于2014年首次被报道,最近被确定与对俄罗斯各种组织的攻击有关, 中亚,欧洲和葡萄牙。 与以前的迭代一样,Cloud Atlas所使用的例程从将钓鱼邮件发送到高价值目标开始。 这些电子邮件具有Microsoft Office文档附件,这些附件包含从远程服务器加载的恶意远程模板。 这项技术可以使文档绕过静态分析,并且如果托管模板的服务器宕机了,取证分析也将变得很困难。
在Cloud Atlas的更新的感染链中,下载后的模板会交付并执行恶意的HTA,该HTA随后会丢弃并执行名为VBShower的VBScript模块,该模块是多态后门。 VBShower会从计算机中删除感染痕迹,从而进一步使取证复杂化,并在受感染的计算机和命令与控制(C&C)服务器之间建立通信。
[阅读:雷达之下的风险:了解无文件威胁]
VBShower提供了Cloud Atlas的第二阶段有效负载,这是使用WebDAV与云存储服务进行通信的后门。 更值得注意的是,VBShower还提供了一个名为PowerShower的基于PowerShell的植入物,这是Cloud Atlas先前例程中的主要有效负载。 PowerShower部署了几个模块。 其中包括一个PowerShell窃取程序,可以窃取小于5 MB的文件,并在最近两天内对其进行了修改;一个侦察模块,可以检索活动进程和其他系统信息的列表;以及一个基于开放源代码的密码收集器 工具LaZagne,用于收集存储在受感染系统中的凭据。
HTA和VBShower都是多态的,也就是说,它们修改了属性以免被安全解决方案检测到。 特别是,更新后的感染链的多态性使Cloud Atlas可以基于危害指标(IOC)逃避分析,因为两个模块中的代码对于每台受感染的机器都是唯一的。
用于恶意软件传播和感染的多态性和PowerShell滥用并不是新事物。 威胁参与者一直在滥用新的脚本语言,例如使企业IT团队难以寻找,监视和防御这些威胁。 趋势科技的研究人员一直在跟踪这种逃避和感染技术。
[阅读:安全性101:防御无文件恶意软件]
诸如Cloud Atlas的更新例行程序所感染的感染之类的威胁不仅对凭据和信息受到威胁的用户构成威胁。 即使在最初的感染阶段之后,它们也为恶意行为者提供访问权限,而后门组件使他们能够执行更严重的攻击。
以下是一些最佳实践,供用户和企业遵循,以保护其系统免受这些威胁的侵害: 更新并安装最新发布的修补程序。 旧版系统可以使用安全供应商发布的虚拟补丁来保护不受支持的系统。 警惕来自未知发件人或位置的电子邮件,或带有可疑内容的邮件,甚至来自假定的已知发件人的邮件。 禁用不必要和过时的组件,并主动监视系统和网络是否存在异常活动和增加的出站流量。 安装能够进行行为监控的多层保护系统,以检测并阻止从网关到端点的恶意软件感染和软件修改异常。
趋势科技解决方案 趋势科技的Smart Protection Suite提供了多种功能,例如高保真机器学习和Web信誉服务,可将持续的无文件威胁的影响降至最低。 趋势科技™Deep Discovery™解决方案具有用于电子邮件检查的层,该层可以通过检测恶意附件和URL来保护企业。 即使不在物理端点上下载远程脚本,它也可以检测到它们。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢