多许可证折扣报价
威胁数据库 恶意软件 VOID#GEIST 恶意软件

VOID#GEIST 恶意软件

通过Mezo恶意软件, 远程管理工具
翻译为:

网络安全研究人员发现了一种复杂的、多阶段的恶意软件攻击活动,该活动利用批处理脚本来传播加密的远程访问木马(RAT)有效载荷。该活动被命名为 VOID#GEIST,部署了多个 RAT 家族,包括 XWorm、AsyncRAT 和 Xeno RAT。

该攻击链利用一个混淆的批处理脚本,启动一系列旨在逃避检测的操作。这些操作包括启动另一个批处理脚本、搭建一个合法的嵌入式 Python 运行时环境以及解密加密的 shellcode 有效载荷。shellcode 通过一种称为“早期异步过程调用 (APC) 注入”的技术注入到 Windows 进程 explorer.exe 的不同实例中,并在内存中直接执行。

脚本驱动型恶意软件传播:一种现代威胁模型

现代威胁行为者正日益放弃传统的独立可执行恶意软件,转而采用分层式、基于脚本的传播框架,以模仿合法用户的行为。攻击者不再部署传统的可移植可执行文件(PE),而是精心构建多组件管道,将多种合法技术和脚本环境相结合。

这些框架中使用的典型组件包括:

  • 用于协调感染过程的批处理脚本。
  • 用于隐蔽部署有效载荷的 PowerShell 命令。
  • 嵌入式合法运行时,确保跨系统可移植性。
  • 原始 shellcode 直接在内存中执行,以保持持久性和控制力。

这种无文件执行方式显著降低了基于磁盘的检测机会。每个阶段单独来看都相对无害,并且通常类似于常规的管理活动,这使得攻击者能够在受感染的环境中运行而不会立即触发安全警报。

通过网络钓鱼和 Cloudflare 基础设施进行初始访问

攻击的入口点在于通过网络钓鱼邮件传播的恶意批处理脚本。该脚本从托管在 TryCloudflare 域名上的基础设施中获取。脚本执行后,会刻意避免权限提升尝试,而是严格在当前登录用户的权限范围内运行。

这种策略使恶意软件能够在融入日常用户操作的同时建立初始立足点。通过避免需要提升权限的操作,攻击降低了触发安全警告或管理员提示的可能性。

视觉干扰和隐蔽执行技巧

恶意软件执行后,第一阶段会启动一个诱饵文档来分散受害者的注意力。它会全屏打开谷歌浏览器,显示一份PDF格式的财务文件或发票。当用户专注于这份文档时,恶意活动会在后台继续进行。

同时,执行一条 PowerShell 命令以隐藏执行参数的方式重新启动原始批处理脚本。使用 `-WindowStyle Hidden` 参数可防止显示可见的控制台窗口,从而确保恶意活动对用户不可见。

通过用户级启动执行实现持久性

为了在系统重启后保持持久性,该恶意软件会在 Windows 用户启动目录中部署一个辅助批处理脚本。此位置确保受害者每次登录系统时,该脚本都会自动执行。

这种持久化机制刻意设计得十分隐蔽。恶意软件并没有采用修改系统注册表项、创建计划任务或安装服务等更具侵入性的技术,而是完全依赖于标准的用户级启动行为。由于这种方法完全在当前用户的权限范围内运行,因此可以避免触发权限提升提示,并降低被注册表监控工具检测到的可能性。

有效载荷检索和解密框架

在感染链的下一阶段,恶意软件会联系 TryCloudflare 域名,以获取打包在 ZIP 压缩包中的其他有效载荷组件。这些压缩包包含解密和执行最终恶意软件有效载荷所需的模块。

下载的压缩包通常包含以下组件:

  • runn.py – 一个基于 Python 的加载器,负责解密并将加密的 shellcode 模块注入内存。
  • new.bin – 与 XWorm 关联的加密 shellcode 有效载荷
  • xn.bin – 与 Xeno RAT 对应的加密 shellcode 有效载荷
  • pul.bin – 与 AsyncRAT 对应的加密 shellcode 有效载荷
  • a.json、n.json 和 p.json 是 Python 加载器在运行时动态解密 shellcode 有效载荷时使用的关键文件。

这种模块化设计使攻击者能够独立部署不同的有效载荷,并仅在需要时激活它们。

嵌入式 Python 运行时,兼顾可移植性和隐蔽性

恶意软件解压后,会部署一个直接从python.org获取的合法嵌入式Python运行时环境。嵌入合法的解释器可以避免依赖受感染系统上可能已存在的任何Python安装。

从攻击者的角度来看,这一步骤提供了多项战略优势。恶意软件成为一个独立的执行环境,无需外部依赖即可解密和注入有效载荷。这提高了跨系统移植性,增强了可靠性,并通过使用合法软件组件实现了行动隐蔽性。

内存中执行多个远程访问木马有效载荷

然后,利用嵌入式 Python 运行时执行 runn.py 加载器脚本。该加载器解密与 XWorm 关联的 shellcode,并使用 Early Bird APC 注入将其注入到正在运行的 explorer.exe 实例中。

为了部署 Xeno RAT,该恶意软件利用了一个名为 AppInstallerPythonRedirector.exe 的合法 Microsoft 二进制文件,该文件用于调用 Python 并执行所需的组件。随后,它重复使用相同的注入技术来部署 AsyncRAT,从而确保所有有效载荷都在内存中完全执行,而不会在磁盘上留下传统的可执行文件。

指挥控制信标和模块化架构

攻击的最后阶段是向攻击者控制的、托管在 TryCloudflare 上的命令与控制 (C2) 基础设施发送一个最小的 HTTP 信标。该信标确认系统已被成功入侵,并已准备好接收进一步的指令。

尽管此次攻击活动的具体目标尚不清楚,但其感染链展现出高度模块化的架构。攻击者并非部署单一的大型恶意软件载荷,而是分阶段逐步引入组件。这种设计提高了操作的灵活性和弹性。

从检测角度来看,整个攻击活动中出现了一个显著的行为特征:在短时间内反复向 explorer.exe 进程注入恶意程序。这种模式可以为防御者提供强有力的信号,帮助他们关联攻击生命周期不同阶段的可疑活动。

趋势

Zap PDF

可能不需要的程序, 广告软件, 浏览器劫持者
保护设备免受侵入性和不可信应用程序的侵害,对于维护隐私、安全和系统稳定性至关重要。潜在有害程序 (PUP) 通常伪装成实用工具,但其运行方式却会损害用户控制权。Zap PDF 就是一个例子,它被宣传为文件转换实用程序,但已被多家安全厂商认定为恶意且具有侵入性。它在系统中的存在会带来严重的隐私和性能风险。 Zap PDF:不仅仅是一个简单的文件转换器 Zap PDF...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
35,179
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
28,458
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...