TEARDROP恶意软件

TEARDROP是在针对Solarwind的Orion平台的供应链攻击中利用的恶意软件威胁之一。威胁参与者根据操作的特定目标和特定的受感染目标释放了许多不同的威胁工具。从未见过的TEARDROP恶意软件充当了第二阶段的删除程序，其任务是交付下一阶段的有效负载-Cobalt Strike Beacon Implant（版本4）。应当指出，Cobalt Strike是设计用于渗透测试的合法远程访问工具。但是，其强大的强大功能集使其在多个黑客组织的武器库中广受欢迎。 Cobalt Strike允许潜在的威胁参与者建立对受感染系统的几乎完全控制。可以命令RAT（远程访问工具）建立键盘记录例程，对系统进行任意拍摄，提供其他有害有效负载，操纵文件系统，以及通过加密隧道将选择的敏感数据泄露到远程服务器。

TEARDROP恶意软件的结构

TEARDROP删除程序是一个具有威胁性的64位动态链接库（DLL），它完全在内存中运行，而无需在磁盘上写入任何文件。它作为服务运行，产生一个线程，并读取名为" honest_computer.jpg "的文件的前64个字节。数据并不需要任何东西，并且即使没有' festival_computer.jpg '文件，威胁也将继续存在。该文件的实际名称可能会有所不同，因为某些信息安全研究人员已检测到其他版本，例如" gracious_truth.jpg" 。

TEARDROP恶意软件的下一步是检查HKU \ SOFTWARE \ Microsoft \ CTF的存在，并通过自定义XOR算法对嵌入的Cobalt Strike信标有效载荷进行解码。最后，Dropper通过类似PE的自定义格式将嵌入式有效负载加载到内存中。

TEARDROP与在相同的名为Raindrop的供应链攻击中观察到的另一个滴管家族密切相关。这两种威胁具有相同的功能，并且实际上存在大量重叠，并且确实表现出一些关键差异。两种恶意软件家族之间最大的区别是Raindrop使用了不同的打包程序。