雙載重惡意軟體活動
一種新發現的惡意軟體攻擊活動引起了網路安全界的廣泛關注,因為它能夠同時部署兩種截然不同的威脅。攻擊者使用經過混淆處理的載入程序,將 Gh0st RAT 和 CloverPlus 都植入到同一台受感染的系統中。
這種組合既罕見又極具策略意義。 Gh0st RAT能夠完全遠端控制受感染的計算機,而 CloverPlus 則專注於操縱瀏覽器活動、注入廣告元件並透過侵入式彈窗牟利。這種雙重部署使得攻擊者能夠在即時利用感染牟利的同時,維持持續的未經授權存取。
這次攻擊活動凸顯了多載荷投放這一日益增長的趨勢,攻擊者透過單次攻擊最大限度地提高營運效率和經濟回報。
目錄
混淆策略:隱藏有效載荷
此次行動的核心加載器經過精心設計,旨在實現隱蔽性。它在資源部分嵌入了兩個加密有效載荷,利用混淆技術來規避傳統的檢測機制。
程式執行始於 CloverPlus 廣告軟體模組,該模組被標識為 AdWare.Win32.CloverPlus,並與名為 wiseman.exe 的可執行檔關聯。此元件會修改瀏覽器啟動設定並注入持久性彈出廣告。
接下來,載入器會評估其執行路徑。如果它不是從系統的 %temp% 目錄運行,則會在繼續執行之前在該目錄下建立自身副本。下一階段涉及解密 Gh0st RAT 用戶端模組,該模組也以加密資源的形式隱藏在惡意軟體二進位檔案中。
解密後,惡意軟體會為有效載荷分配一個隨機檔案名,並將其儲存在 C:\ 磁碟機根目錄下的一個隨機命名的資料夾中,從而進一步增加偵測和分析的難度。
靠土地維生:值得信賴的工具,惡意的意圖
為了執行解密後的有效載荷,該惡意軟體利用了合法的 Windows 實用程式 rundll32.exe。這種方法使得惡意程式碼能夠偽裝成受信任的系統程序執行,從而顯著降低了觸發安全防禦的可能性。
Gh0st RAT一旦激活,便會開始對受感染系統進行分析,收集諸如MAC位址和硬碟序號等唯一識別碼。這些資訊用於在攻擊者的命令與控制基礎設施中註冊受害者,從而確保對受感染主機進行精確追蹤和管理。
持久性機制:確保長期訪問
在系統重新啟動後保持存取權限是本次攻擊活動的關鍵目標。 Gh0st RAT 透過嵌入作業系統深處的多種技術實現持久化:
修改 Windows Run 登錄項,以確保在啟動時自動執行
在 SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip 目錄下的遠端存取服務路徑中註冊了一個惡意 DLL 檔案。
這些方法在相關服務啟動時賦予惡意軟體系統級權限,從而無需用戶進一步交互,並加強了長期控制。
偵測與防禦:入侵指標
這次攻擊活動對個人和組織的影響都相當巨大。雖然廣告軟體元件會破壞瀏覽器功能並增加使用者接觸惡意廣告的機會,但遠端存取木馬(RAT)元件卻能竊取資料、記錄鍵盤輸入、繞過安全防護並取得持久特權存取權限。
安全團隊應保持警惕,並監控以下入侵跡象:
- 執行 rundll32.exe 時,會從異常或可疑目錄載入 DLL 檔案或非標準檔案副檔名。
- 處理源自 %temp% 資料夾的活動
- 未經授權修改註冊表運行項或遠端存取服務配置
- 利用基於 ping 的延遲來規避沙箱偵測
- 異常的 DNS 流量模式和系統 hosts 檔案的意外更改
主動監控並快速回應這些訊號對於降低這種複雜的雙重威脅惡意軟體活動的風險至關重要。
