TEARDROP惡意軟件

TEARDROP是在針對Solarwind的Orion平台的供應鏈攻擊中利用的惡意軟件威脅之一。威脅參與者根據操作的特定目標和特定的感染目標釋放了許多不同的威脅工具。從未見過的TEARDROP惡意軟件充當了第二階段的刪除程序，其任務是交付下一階段的有效負載-Cobalt Strike Beacon Implant（版本4）。應當指出，Cobalt Strike是設計用於滲透測試的合法遠程訪問工具。但是，其強大的強大功能集使其在多個黑客組織的武器庫中廣受歡迎。 Cobalt Strike允許潛在的威脅參與者建立對受感染系統的幾乎完全控制。可以命令RAT（遠程訪問工具）建立鍵盤記錄例程，對系統進行任意拍攝，提供其他有害有效負載，操縱文件系統，以及通過加密隧道將選擇的敏感數據洩露到遠程服務器。

TEARDROP惡意軟件的結構

TEARDROP刪除程序是一個威脅很大的64位動態鏈接庫（DLL），它完全在內存中運行，而無需在磁盤上寫入任何文件。它作為服務運行，產生一個線程，並讀取名為" festival_computer.jpg "的文件的前64個字節。數據並不需要任何東西，並且即使沒有' festival_computer.jpg '文件，威脅也將繼續存在。該文件的實際名稱可能會有所不同，因為某些信息安全研究人員已檢測到其他版本，例如" gracious_truth.jpg" 。

TEARDROP惡意軟件的下一步是檢查HKU \ SOFTWARE \ Microsoft \ CTF的存在，並通過自定義XOR算法對嵌入的Cobalt Strike信標有效載荷進行解碼。最後，Dropper通過自定義的類似於PE的格式將嵌入式有效負載加載到內存中。

TEARDROP與在相同的名為Raindrop的供應鏈攻擊中觀察到的另一個滴管家族密切相關。這兩種威脅具有相同的功能，並且實際上存在大量重疊，並且確實表現出一些關鍵差異。兩種惡意軟件家族之間最大的區別是Raindrop使用了不同的打包程序。