死亡字形后门

网络安全分析师最近发现了一个名为“Deadglyph”的高级后门，该后门此前从未被记录在案。这种复杂的恶意软件被名为“Stealth Falcon”的威胁行为者用作其网络间谍活动的一部分。

Deadglyph 的与众不同之处在于它的非传统架构，由两个协作组件组成。一种是本机 x64 二进制文件，另一种是 .NET 程序集。这种与规范的背离值得注意，因为大多数恶意软件的组件通常依赖于单一编程语言。采用这种双语言方法表明可以利用每种编程语言的独特功能，分别开发这两个组件。

此外，有人怀疑故意使用不同的编程语言是阻碍分析工作的战略策略。这使得安全研究人员导航和调试恶意软件变得更具挑战性，包括其检测和缓解的复杂性又增加了一层。

Deadglyph 后门显示出不寻常的特征

Deadglyph 代表了 Stealth Falcon 武器库的最新成员，由中东一个未公开的政府实体使用。与传统后门不同的是，这种威胁工具从威胁行为者控制的服务器接收命令。这些命令以补充模块的形式出现，使 Deadglyph 能够启动新进程、访问文件并从受感染的系统中获取数据。

植入物输送的确切方法仍然是个谜。然而，其执行的初始触发器是 shellcode 加载器，它从 Windows 注册表中检索并加载 shellcode。这反过来会启动 Deadglyph 的本机 x64 组件（称为“执行器”）的执行。

Deadglyph 感染可能会给受害者带来灾难性后果

执行器一旦激活，就会继续加载一个称为“Orchestrator”的 .NET 组件。 Orchestrator 与命令与控制 (C2) 服务器建立通信，等待进一步的指令。该恶意软件还采用一系列规避策略来隐藏自己，甚至具有自我卸载的能力。从服务器接收到的命令会排队等待执行，分为三个不同的类别：Orchestrator 任务、Executor 任务和Upload 任务。

执行器任务授予对后门管理和附加模块执行的控制权。另一方面，Orchestrator 任务管理网络和计时器模块的配置，并可以取消待处理的任务。

已经确定了几个执行器任务，包括进程的创建、文件访问和系统元数据的收集。定时器模块与网络模块一起定期联系 C2 服务器，通过 HTTPS POST 请求促进 C2 通信。上传任务，顾名思义，使后门能够传输命令的结果和任何遇到的错误。

Deadglyph 拥有一系列反检测机制，包括对系统进程的持续监控和随机网络模式的实施。此外，它还具有在某些情况下自行卸载的能力，以降低被发现的可能性。

Stealth Falcon 网络犯罪集团已运营近十年

Stealth Falcon，也称为 FruityArmor，最初于 2016 年引起公众关注，当时研究人员发现它参与了中东地区的定向间谍软件攻击。这些攻击针对的是阿拉伯联合酋长国（UAE）的记者、活动人士和持不同政见者。威胁行为者采用鱼叉式网络钓鱼策略，通过电子邮件中嵌入的欺骗性链接来引诱受害者，这些链接会导致包含宏的文档。这些文档充当能够执行任意命令的自定义植入程序的传递机制。

2019 年的一项后续调查揭露了一项名为“乌鸦计划”的秘密行动，该行动的特点是由一家名为 DarkMatter 的网络安全公司招募了一群前美国情报专业人员。他们的任务是监视批评阿拉伯君主制的个人。值得注意的是，“隐形猎鹰”和“乌鸦计划”似乎是一回事，这从它们共同的战术和目标就可以看出。

随着时间的推移，该组织与利用 Windows 中的零日漏洞有关，包括 CVE-2018-8611 和 CVE-2019-0797。信息安全研究人员指出，2016 年至 2019 年间，该间谍组织比任何其他实体更广泛地利用零日漏洞。

大约在同一时期，观察到对手使用了名为 Win32/StealthFalcon 的后门。此威胁利用 Windows 后台智能传输服务 (BITS) 进行命令与控制 (C2) 通信，使攻击者能够完全控制受感染的端点。