【安全资讯】恶意软件利用合法的Pastebin服务进行攻击活动

Juniper Threat Labs发现了几个依赖类似于Pastebin的服务进行感染的恶意软件活动，发现的恶意软件包括AgentTesla、LimeRAT、Redline Stealer和勒索软件。这些攻击通常始于钓鱼邮件，当用户被诱骗执行恶意软件时，它会从paste.nrecom.net下载后续阶段的恶意软件，并加载到内存中，而无需写入磁盘。

Paste.nrecom自2014年5月起投入使用。你可以在pastebin服务中发布代码或文本数据，以与他人共享。

Paste.nrecom做同样的事情，它还提供了允许脚本编写的API。这令威胁行为者更轻松地以编程方式插入和更新数据。该服务由Stikked提供支持，Stikked是基于PHP的开源Pastebin。

二进制数据可以通过简单地编码来表示为文本文件。常见的编码方法是使用base64。

为了增加另一层混淆，它们使用XOR密钥对二进制数据进行加密。

从2020年9月21日开始，我们已经看到几个恶意软件家族利用这项服务并迅速发展。

结论

使用恶意软件基础结构的合法Web服务（例如pastebin或paste.nrecom）为网络犯罪分子提供了优势，因为这些服务的使用合法性，无法轻易删除。

我们建议安全操作部门将paste.nrecom添加到可能出于恶意目的而滥用的Web服务中。建议监视此类服务，以检查可疑内容，特别是以base64编码的二进制数据。