HTTPSnoop 恶意软件

针对中东电信服务提供商的一波网络攻击与 HTTPSnoop 和 PipeSnoop 等新型恶意软件的部署有关。这些威胁工具使威胁行为者能够远程控制受感染的设备。

HTTPSnoop 恶意软件利用 Windows HTTP 内核驱动程序和设备通过 HTTP(S) URL 在受感染端点上执行特定内容。另一方面，PipeSnoop 被设计为通过命名管道接收和执行任意 shellcode。

根据成功发现此攻击活动的网络安全研究人员发布的报告，HTTPSnoop 和 PipeSnoop 均归因于同一入侵组织，识别为“ShroudedSnooper”。然而，这两种威胁在渗透程度方面具有不同的作战目的。

HTTPSnoop 恶意软件为攻击者执行专门的操作

HTTPSnoop 使用低级 Windows API 来监视受感染设备上的 HTTP(S) 流量，特别是针对预定义的 URL。检测到这些 URL 后，恶意软件会继续解码来自这些 URL 的传入 Base64 编码数据，并将其作为 shellcode 在受感染的主机上执行。

这种不安全的植入程序通过 DLL 劫持在目标系统上激活，包含两个关键组件：第一是第二阶段 shellcode，负责通过内核调用设置后门 Web 服务器；第二是其配置。

HTTPSnoop 建立一个侦听循环，耐心等待传入的 HTTP 请求，并在有效数据到达时对其进行有效处理。如果传入数据无效，恶意软件会返回 HTTP 302 重定向。

接收到的shellcode解密后立即执行，执行结果以base64编码的异或编码数据块的形式传回给攻击者。

此外，此植入程序会采取预防措施，以避免与服务器上先前配置的 URL 发生冲突，从而确保平稳运行，不会出现意外冲突。

专家发现了几种 HTTPSnoop 恶意软件变体

到目前为止，已观察到 HTTPSnoop 的三种不同变体，每种变体都采用独特的 URL 侦听模式。第一个变体监视基于常规 HTTP URL 的请求，而第二个变体则侧重于模仿 Microsoft Exchange Web 服务的 URL。与此同时，第三个变体的目标是模拟 OfficeCore 的 LBS/OfficeTrack 和电话应用程序的 URL。

这些变体于 2023 年 4 月被发现，值得注意的是，最近的变体减少了其监控的 URL 数量，这可能会增强其隐秘能力。

通过模仿与 Microsoft Exchange Web Services 和 OfficeTrack 相关的合法 URL 模式，这些欺诈性请求与良性流量非常相似，因此将它们与合法请求区分开来非常困难。

不断发展的恶意软件格局对我们的数字时代构成了巨大且持续的威胁。恶意软件不仅是一种麻烦，而且是一个强大的对手，能够对个人、组织甚至国家造成严重破坏。保持警惕、教育和强有力的网络安全措施是我们抵御这一无情威胁的最佳防御措施。及时了解情况并采用在线安全方面的最佳实践不仅仅是一种选择，更是一种选择。这是保护我们的数字生活和维护互联世界完整性的必要条件。