谨防发送有后门的 Linux 虚拟机的钓鱼电子邮件!

Securonix 研究人员发现,不明攻击者正试图诱骗 Windows 用户启动一个带有预配置后门的定制 Linux 虚拟机(VM)。

攻击活动

他们认为,攻击始于一封网络钓鱼电子邮件,但无法确定目标受害者。

该电子邮件包含一个指向异常大的 ZIP 文件(285 MB)的链接,其名称 OneAmerica Survey.zip 指向了可能的诱惑:由提供金融服务的美国公司 OneAmerica Financial 发起的一项调查。

研究人员解释说:“当用户解压缩时,会看到一个名为‘OneAmerica Survey’的文件(快捷方式)和一个包含整个 QEMU 安装目录的‘data’目录。”

研究人员解释说,”如果用户点击快捷方式文件,就会启动一个进程:

  • ZIP 文件被 “解压缩”,其内容被放入用户的配置文件目录下一个名为 “datax ”的目录中
  • 执行批处理 (BAT) 文件,并显示一个诱饵图像,提示 “服务器内部出错”,同时在后台执行一个(重命名的)QEMU 进程和命令行,以启动模拟的 Tiny Core Linux 环境

定制的 Linux 虚拟机旨在通过启动 SSH 连接在主机上创建一个交互式 shell(本质上是后门),攻击者可以通过该 shell 下载更多恶意有效载荷:

  • 下载其他恶意有效载荷
  • 在机器上安装其他工具
  • 重命名文件
  • 修改系统配置
  • 通过系统和用户枚举进行基本侦察
  • 渗出数据

“就像下棋一样,攻击者在准备他们的环境时就考虑到了策略。他们系统地安装、测试和执行了多个有效载荷和配置,每个都是为下一阶段做准备,”研究人员指出。

研究人员指出:“使用 bootlocal.sh 和 SSH 密钥表明,他们的目标是在机器上建立可靠的存在。有几次,他们从不同的 URL 下载了 crondx 文件(预配置 Chisel 客户端)。原因不明,但我们推测他们可能在修改有效载荷,直到其功能达到预期。”

Linux VM backdoor

诱饵镜像(来源:Securonix)

Chisel 客户端经过预配置,可通过网络套接字自动连接到指定的命令与控制(C2)服务器,从而打开一个持久后门,攻击者可通过该后门访问被入侵的环境。

逃避检测

传统的防病毒解决方案通常无法(或默认情况下不会)扫描超大文件,也无法查看仿真 Linux 环境中发生的情况。

研究人员补充说:“Chisel 的设计使其在创建隐蔽的通信渠道和穿越防火墙隧道方面尤为有效,而且往往能躲过网络监控工具的监控。”

“攻击者对 QEMU 和 Chisel 等合法软件的依赖增加了额外的规避层,因为这些工具在许多环境中都不太可能触发警报。”

Securonix 分享了与此活动相关的危害指标,并建议企业监控常见的恶意软件暂存目录,监控从异常位置执行合法软件的实例,使用强大的端点日志来帮助 PowerShell 检测。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐