透過 HTTP 提供更新的 eScan 防毒服務遭到駭客攻擊和感染

駭客利用防毒服務中的漏洞向毫無戒心的用戶分發惡意軟體長達五年之久。這次攻擊的目標是 eScan Antivirus，這是一家總部位於印度的公司，該公司一直透過 HTTP 提供更新，HTTP 協定以容易受到網路攻擊而聞名，這些攻擊會在傳輸過程中操縱或破壞資料。 Avast 的安全研究人員透露，肇事者可能與北韓政府有關，他們執行了一次複雜的中間人 (MitM) 攻擊。這種策略涉及攔截來自 eScan 伺服器的合法更新並用惡意檔案替換它們，最終安裝一個名為 GuptiMiner 的後門。

這次襲擊的複雜性涉及一系列感染。最初，eScan 應用程式與更新系統進行通信，為威脅參與者提供攔截和替換更新套件的機會。儘管研究人員推測，受感染的網路可能促進了流量的惡意重定向，但確切的攔截方法仍不清楚。為了逃避偵測，該惡意軟體採用DLL 劫持並利用自訂網域名稱系統 (DNS) 伺服器連接到攻擊者控制的通道。此攻擊的後續迭代採用 IP 位址遮罩來混淆命令與控制 (C&C) 基礎設施。

此外，該惡意軟體的某些變體將其惡意程式碼隱藏在影像檔案中，使檢測變得更具挑戰性。此外，攻擊者還安裝了自訂根TLS憑證來滿足某些系統的數位簽章要求，從而確保惡意軟體的成功安裝。令人驚訝的是，除了後門之外，有效負載還包括開源加密貨幣挖礦軟體XMRig ，這引發了人們對攻擊者動機的質疑。

GuptiMiner 操作揭露了 eScan 實務上的重大安全缺陷，包括缺乏用於更新交付的 HTTPS 以及缺乏用於驗證更新完整性的數位簽章。儘管有這些缺陷，eScan 並未回應有關其更新流程設計的詢問。

建議 eScan Antivirus 的用戶查看 Avast 的貼文以獲取有關潛在感染的信息，儘管大多數信譽良好的防毒程式可能會檢測到這種威脅。此事件強調了強而有力的安全措施在防範複雜網路攻擊的重要性。