Windows 在新的網(wǎng)絡釣魚攻擊中感染了后門 Linux 虛擬機
一種名為“CRON#TRAP”的新網(wǎng)絡釣魚活動通過 Linux 虛擬機感染 Windows����,該虛擬機包含內(nèi)置后門����,可以秘密訪問公司網(wǎng)絡�。
使用虛擬機進行攻擊并不是什么新鮮事,勒索軟件團伙和加密貨幣挖礦者利用虛擬機來秘密執(zhí)行惡意活動����。然而,威脅者通常在破壞網(wǎng)絡后手動安裝這些軟件��。
Securonix 研究人員發(fā)現(xiàn)的一項新活動是使用網(wǎng)絡釣魚電子郵件執(zhí)行無人值守的 Linux 虛擬機安裝�����,以破壞企業(yè)網(wǎng)絡并獲得持久性�。
網(wǎng)絡釣魚電子郵件偽裝成“OneAmerica 調(diào)查”����,其中包含一個 285MB 的大型 ZIP 存檔��,用于安裝預裝后門的 Linux 虛擬機�。
該 ZIP 文件包含一個名為“OneAmerica Survey.lnk”的 Windows 快捷方式和一個包含 QEMU 虛擬機應用程序的“data”文件夾��,其中主要可執(zhí)行文件偽裝為 fontdiag.exe����。
啟動快捷方式時,它會執(zhí)行 PowerShell 命令將下載的存檔解壓到“%UserProfile%\datax”文件夾��,然后啟動“start.bat”以在設備上設置并啟動自定義 QEMU Linux 虛擬機����。
Start.bat批處理文件安裝QEMU Linux虛擬機
安裝虛擬機時,同一個批處理文件將顯示從遠程站點下載的 PNG 文件���,該文件顯示虛假服務器錯誤作為誘餌���,這意味著調(diào)查鏈接已損壞。
顯示假錯誤的圖像
名為“PivotBox”的定制 TinyCore Linux VM 預裝了一個后門��,可保護持久的 C2 通信�,允許攻擊者在后臺進行操作�。
由于 QEMU 是一個經(jīng)過數(shù)字簽名的合法工具��,因此 Windows 不會對其運行發(fā)出任何警報�,并且安全工具無法檢查虛擬機內(nèi)運行的惡意程序。
LNK 文件內(nèi)容
后門操作
后門的核心是一個名為 Chisel 的工具�����,這是一個網(wǎng)絡隧道程序��,經(jīng)過預先配置��,可通過 WebSockets 與特定命令和控制 (C2) 服務器創(chuàng)建安全通信通道���。
Chisel 通過 HTTP 和 SSH 傳輸數(shù)據(jù)���,允許攻擊者與受感染主機上的后門進行通信,即使防火墻保護網(wǎng)絡也是如此����。
為了持久性,QEMU 環(huán)境設置為在主機通過“bootlocal.sh”修改重新引導后自動啟動����。同時����,會生成并上傳 SSH 密鑰��,以避免重新進行身份驗證����。
Securonix 突出顯示了兩個命令��,即“get-host-shell”和“get-host-user”����。第一個在主機上生成一個交互式 shell,允許執(zhí)行命令����,而第二個用于確定權(quán)限。
然后可以執(zhí)行的命令包括監(jiān)視��、網(wǎng)絡和有效負載管理操作�、文件管理和數(shù)據(jù)泄露操作,因此攻擊者擁有一組多功能的命令�����,使他們能夠適應目標并執(zhí)行破壞性操作。
惡意分子的命令歷史記錄
防御 QEMU 濫用
CRON#TRAP 活動并不是黑客第一次濫用 QEMU 與其 C2 服務器建立秘密通信����。
2024 年 3 月,卡巴斯基報告了另一場活動�����,威脅者使用 QEMU 創(chuàng)建虛擬網(wǎng)絡接口和套接字類型網(wǎng)絡設備來連接到遠程服務器�����。
在這種情況下����,隱藏在僅運行 1MB RAM 的 Kali Linux 虛擬機內(nèi)的一個非常輕的后門被用來建立一個隱蔽的通信隧道。
要檢測和阻止這些攻擊���,請考慮為從用戶可訪問的文件夾執(zhí)行的“qemu.exe”等進程放置監(jiān)視器����,將 QEMU 和其他虛擬化套件放入阻止列表中�,并從系統(tǒng) BIOS 禁用或阻止關鍵設備上的虛擬化。
參考及來源:https://www.bleepingcomputer.com/news/security/windows-infected-with-backdoored-linux-vms-in-new-phishing-attacks/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761