黑客都有一个共同的梦,那便是自己写的木马能够永远不会被杀毒软件查杀,而达成这个方法最粗暴的就是让杀毒软件厂商将自己的木马加到他们的查杀白名单中,这样就能够让自己的马儿达成暂时永生成就。
要达到这种成就,对于网络犯罪分子而言,能用钱解决的就尽量用钱解决,当年就有内鬼成功被贿赂后,弄过浑水摸鱼的方式提交到安全公司平台并实现免杀。
而今年2月,国外安全公司FortiGuard实验室通过电子邮件收到了名为Packity Networks公司的请求,该公司要求将其软件列入白名单。发件人声称他们软件被误报,对他们的业务造成了重大影响。
而当时,只有forinet的杀毒引擎检出病毒名了,Dr.Web的沙箱跑出了恶意行为。
因此,这种可疑的电子邮件,如果大家收到后,可以按照下面的方式进行排查确认。
首先对邮件的URL进行分析,虽然有packity.com这个网站(推特账号存活),但具体公司并没有查询到,且网站并没有引用
而这两个程序都是由同一个合法证书签名,但是右图的邮箱处有明显的不一致,联系方式与以往的不一致。
然后,从代码出发,setup.exe 会执行以下操作
将自身复制到C:\Windows\Net Helper\net-helper.exe。
使用复制的文件创建了一个名为Net Helper的服务。
启动服务并退出该进程。
新服务进程尝试 每5分钟连接到
hxxps://update.netbounce.net/check。
虽说这些都可能是合法程序用来作为更新的渠道,但由于过于可疑,研究人员通过对这些代码进行关联分析,发现了一批存在明显恶意行为的软件。
而这些软件针对Linux和MacOS攻击,使用Go语言编写。这些软件互相关联,并回连到攻击者的C2地址上,采取的手法均为反向代理等待木马下发的手法。
目前该公司的证书已经被吊销了,很明显这个团伙通过某些手段获取到Packity公司的权限并获取到证书,然后伪装好一切后,试图把这个大后门加白,但有趣的是,由于他有合法的数字签名,其他杀毒软件都没认出是后门,这明显给forinet加分了。
最后做个总结就是,即使攻击者采取了许多措施以使其看起来是合法身份以逃避检测,但该新活动还是几乎在启动后立即被检测到:
使用真实的(也可能是入侵的)公司来伪装该活动。
使用有效证书看上去与公司使用的原始证书非常相似。
作为感染链的一部分,使用了合法的更新服务Equinox进行掩盖。
攻击者深信表面功夫做得足够好,可以向安全公司发送一封电子邮件,并在邮件中直接给出可以下载伪装成合法程序的恶意程序链接,以试图诱使安全公司将其列入白名单。
而该恶意程序只是一个相当复杂的多阶段感染机制的一部分,该机制可以在任何时间点激活,最终Payload可以根据攻击者的判断进行定制,并在合适的时机下发新的木马。
又到了一年一度的hvv环节了,这种手法注意防范了。
参考链接(IOC在原文末):