沃尔玛的网络情报团队报告说，已经发现了一个未知的 PowerShell 后门以及 Zloader/SilentNight 恶意软件的新变体。

PowerShell 后门的构建是为了为威胁参与者提供通过侦察活动的进一步访问权限，并部署其他恶意软件样本，包括 Zloader。

后门还利用了复杂的混淆技术。研究人员说，它可能与新的Zloader变体一起使用。

没有迹象表明该恶意软件组合是针对沃尔玛的。这家零售巨头的网络情报团队透露，他们在积极调查新威胁的同时发现了这一发现。

沃尔玛发言人告诉Infosecurity：“涉及的威胁行为者与Zloader / SilentNight有联系，CISA已公开与Black Basta链接，因此目标是违规和勒索活动。

Zloader 最初是一种银行木马，但近年来经历了重大发展，增加了新功能。多年来，该恶意软件已与许多俄罗斯勒索软件即服务组织相关联，包括 Ryuk、DarkSide 和 Black Basta。

专注于混淆的攻击者

沃尔玛告诉Infosecurity，未知的PowerShell后门与之前观察到的名为PowerDash的PowerShell恶意软件有一些重叠，特别是它们构建系统数据以发送到命令和控制（C2）基础设施的方式，以及他们如何使用相同的混淆技术来隐藏后门的更重要组件。

PowerDash 于 2023 年被发现，具有收集有关受感染系统的信息的功能，将其转发到攻击者控制的 C2 服务器并等待进一步的命令。

沃尔玛的网络情报团队指出，新发现的PowerShell后门在VirusTotal检测服务上可用的样本很少，这使得检测更具挑战性。

“顺便说一句，这些样本在大多数沙箱中似乎不能很好地引爆，这也有助于它们在雷达下溜走更长时间，”发言人补充道。

沃尔玛还观察到，后门的配置符合更广泛的趋势，即一些更高级的威胁参与者转向为后门编写脚本语言。

“关键建议是验证您的内部枢轴检测，例如威胁行为者和恶意软件用于收集有关受感染组织信息的常见硬编码字符串，”发言人评论道。

未知的 PowerShell 后门如何操作

研究人员首先分析了以下PowerShell文件：

• 编译时间戳 2023-05-29 16：24：50 UTC MD5：83aa432c43f01541e4f1e2f995940e69 SHA-1：931b6fd3e7ee5631fbc583640805809d9f2acc58 SHA-256：82f33adfecd67735874cdc9c2bfd27d4b5b904c828d861544c249798a3e65e7e

然后，他们发现了另外两个匹配相同特征的文件，它们是由 AgilDotNet 打包的 .NET：

• 编译时间戳 2023-05-30 10：31：17 UTC MD5： 41563d1f34b704728988a53833577076 SHA-1： 72a572ce8247f80946e71f637c3403228543d9a3 SHA-256： 66a69d992a82681ee1d971cc2b810dd4b58c3cfd8b4506b3d62fe1e7421fb90b
• 编译时间戳 2023-05-30 10：31：14 UTC MD5： e447362fb2686062a3dfc921c10dd6c7 SHA-1： 544599ef72cbd97fe50e4169c8401270ff3b917b SHA-256： b513c6940ed32766e1ac544fc547b1cb53bc95eced5b5bcc140d7c6dce377afb

在分析了二进制文件后，团队解压缩并解密了后门功能。这在 PowerShell 脚本中发现了一个硬编码的文件名。

立即阅读：“PowerDrop”PowerShell 恶意软件瞄准美国航空航天业

在 PowerShell 脚本上执行检查。如果这些失败，恶意软件将自行移动并卸载所有以前的数据。如果检查通过，它将在脚本中设置许多变量。

这包括将 VB 下载器与可执行文件一起写入磁盘。该下载器包含一个双重 base64 编码的 URL，该 URL 被解密以显示下载器站点。

之后，它执行一个硬编码的 curl 命令，该命令将从编码的 URL 下载并执行文件。如果它已经在运行，则在执行命令之前，将执行检查。任务基于具有随机 GUID 的硬编码名称进行安装。

此时，脚本将设置运行键，并执行管理员和 Internet 连接检查。

沃尔玛团队在脚本中发现了“严重混淆”的代码部分，并能够提取代码斑点并对其进行分析。

第一个代码 blob 是反虚拟机 （VM） 检查，用于阻止分析尝试。

下一个模块涉及构建机器人将发送到 C2 的信息以及对发出的命令的响应。在 CBC 模式下使用 AES 执行加密。

这样可以执行侦察，收集额外的机器信息，并对在初始运行期间发送到 C2 的所有数据进行编码。

SonicWall 的 2024 年年中网络威胁报告发现，PowerShell – 开发人员使用的合法 Windows 自动化工具 – 现在被超过 90% 的恶意软件家族利用。

PowerShell 脚本用于各种恶意任务，包括逃避检测和下载其他恶意软件。