麻雀门
SparrowDoor 是新发现的 APT(高级持续性威胁)组织使用的主要威胁,该组织被跟踪为FamousSparrow 。黑客似乎正在瞄准全球的酒店,目的是窃取数据。在不同的场合,FamousSparrow 还损害了工程公司、律师事务所和政府组织。
SparrowDoor 的部署
SparrowDoor 后门通过使用 DLL 劫持的加载程序传送到受害者的机器。加载器使用三个元素 - 合法的 K& Computing 可执行文件 (Indexer.exe)、损坏的 DLL 文件 (K7UI.dll) 和加密的 shellcode (MpSvc.dll)。所有三个都放在 %PROGRAMDATA%\Software\ 文件夹中。
为了建立持久性,SparrowDoor 依赖于 Registry Run 密钥,以及使用硬编码到恶意软件二进制文件中的配置数据创建和启动的服务。之后,它尝试通过调整其进程的访问令牌来提升其权限。最后一步包括将系统数据发送到命令与控制(C2、C&C)服务器,然后等待传入的命令。
威胁功能
SparrowDoor 可识别 10 多种不同的命令。它可以操纵受感染机器上的文件系统——创建、重命名和删除文件。它还可以将各种数据泄露到服务器,包括文件信息(文件属性、文件大小和文件写入时间)和指定文件的内容。恶意软件可以终止当前进程并建立交互式反向shell。如果黑客需要掩盖他们的踪迹,他们可以指示 SparrowDoor 删除其持久性机制并删除其文件。
