双载荷恶意软件活动
一种新近发现的恶意软件攻击活动引起了网络安全界的广泛关注,因为它能够同时部署两种截然不同的威胁。攻击者使用一个经过混淆处理的加载程序,将 Gh0st RAT 和 CloverPlus 都植入到同一台受感染的系统中。
这种组合既罕见又极具战略意义。Gh0st RAT能够完全远程控制受感染的计算机,而 CloverPlus 则专注于操纵浏览器活动、注入广告组件并通过侵入式弹窗牟利。这种双重部署使得攻击者能够在实时利用感染牟利的同时,维持持续的未经授权访问。
此次攻击活动凸显了多载荷投放这一日益增长的趋势,攻击者通过单次攻击最大限度地提高运营效率和经济回报。
目录
混淆策略:隐藏有效载荷
此次行动的核心加载器经过精心设计,旨在实现隐蔽性。它在资源部分嵌入了两个加密有效载荷,利用混淆技术来规避传统的检测机制。
程序执行始于 CloverPlus 广告软件模块,该模块被标识为 AdWare.Win32.CloverPlus,并与名为 wiseman.exe 的可执行文件关联。该组件会修改浏览器启动设置并注入持久性弹出广告。
接下来,加载器会评估其执行路径。如果它不是从系统的 %temp% 目录运行,则会在继续执行之前在该目录下创建一个自身副本。下一阶段涉及解密 Gh0st RAT 客户端模块,该模块也以加密资源的形式隐藏在恶意软件二进制文件中。
解密后,恶意软件会给有效载荷分配一个随机文件名,并将其存储在 C:\ 驱动器根目录下的一个随机命名的文件夹中,从而进一步增加检测和分析的难度。
靠土地为生:值得信赖的工具,恶意的意图
为了执行解密后的有效载荷,该恶意软件利用了合法的 Windows 实用程序 rundll32.exe。这种方法使得恶意代码能够伪装成受信任的系统进程执行,从而显著降低了触发安全防御的可能性。
Gh0st RAT一旦激活,便会开始对受感染系统进行分析,收集诸如MAC地址和硬盘序列号等唯一标识符。这些信息用于在攻击者的命令与控制基础设施中注册受害者,从而确保对受感染主机进行精确跟踪和管理。
持久性机制:确保长期访问
在系统重启后保持访问权限是本次攻击活动的关键目标。Gh0st RAT 通过嵌入操作系统深处的多种技术实现持久化:
修改 Windows Run 注册表项,以确保在启动时自动执行
在 SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip 目录下的远程访问服务路径中注册了一个恶意 DLL 文件。
这些方法在相关服务启动时赋予恶意软件系统级权限,从而无需用户进一步交互,并加强了长期控制。
检测与防御:入侵指标
此次攻击活动对个人和组织的影响都相当巨大。虽然广告软件组件会破坏浏览器功能并增加用户接触恶意广告的机会,但远程访问木马 (RAT) 组件却能窃取数据、记录键盘输入、绕过安全防护并获取持久特权访问权限。
安全团队应保持警惕,并监控以下入侵迹象:
- 执行 rundll32.exe 时,会从异常或可疑目录加载 DLL 文件或非标准文件扩展名。
- 处理源自 %temp% 文件夹的活动
- 未经授权修改注册表运行项或远程访问服务配置
- 利用基于 ping 的延迟来规避沙箱检测
- 异常的 DNS 流量模式和系统 hosts 文件的意外更改
主动监控并快速响应这些信号对于降低这种复杂的双重威胁恶意软件活动带来的风险至关重要。
