麻雀門
SparrowDoor 是新發現的 APT(高級持續性威脅)組織使用的主要威脅,該組織被跟踪為FamousSparrow 。黑客似乎正在瞄準全球的酒店,目的是竊取數據。在不同的場合,FamousSparrow 還損害了工程公司、律師事務所和政府組織。
SparrowDoor 的部署
SparrowDoor 後門通過使用 DLL 劫持的加載程序傳送到受害者的機器。加載器使用三個元素 - 合法的 K& Computing 可執行文件 (Indexer.exe)、損壞的 DLL 文件 (K7UI.dll) 和加密的 shellcode (MpSvc.dll)。所有三個都放在 %PROGRAMDATA%\Software\ 文件夾中。
為了建立持久性,SparrowDoor 依賴於 Registry Run 密鑰,以及使用硬編碼到惡意軟件二進製文件中的配置數據創建和啟動的服務。之後,它嘗試通過調整其進程的訪問令牌來提升其權限。最後一步包括將系統數據發送到命令與控制(C2、C&C)服務器,然後等待傳入的命令。
威脅功能
SparrowDoor 可識別 10 多種不同的命令。它可以操縱受感染機器上的文件系統——創建、重命名和刪除文件。它還可以將各種數據洩露到服務器,包括文件信息(文件屬性、文件大小和文件寫入時間)和指定文件的內容。惡意軟件可以終止當前進程並建立交互式反向shell。如果黑客需要掩蓋他們的踪跡,他們可以指示 SparrowDoor 刪除其持久性機制並刪除其文件。
