【安全资讯】BadSpace后门:感染高排名网站的新型恶意软件威胁
概要:
近日,网络安全研究人员发现了一种名为“BadSpace”的复杂新型后门程序,对互联网用户构成了重大威胁。该后门程序首次由威胁情报分析师Gi7w0rm于5月19日披露,最初由研究员@kevross33发现。网络安全公司G DATA对该后门的感染链和功能进行了深入分析,揭示了涉及多个高排名网站的多阶段攻击。主要内容:
BadSpace通过复杂的感染链传播,起始于被感染的网站。恶意活动首先设置一个cookie,以跟踪用户是否访问过该网站。在首次访问时,网站会构建一个包含设备类型、IP地址、引用来源、用户代理、域名和位置等参数的URL,并发送GET请求。响应负载可以覆盖初始网页,除非返回错误消息。BadSpace的攻击者主要针对WordPress网站,在JavaScript库如jQuery或直接在索引页面中注入恶意代码。G DATA研究人员获取了多个JScript文件,这些文件通过扩展名伪装(如“.pdf.js”)来投放和运行BadSpace后门。一个显著的特点是伪装成Google Chrome更新提示,当用户下载所谓的更新时,会直接安装恶意后门或一个JScript文件以便下载。
这些用于命令和控制(C2)服务器的域名与威胁行为者SocGholish有关,该组织在过去的活动中使用了类似的技术。JScript下载器使用多种混淆技术来逃避检测,首先通过三个函数和一个字符串数组来模糊其操作。最终,脚本使用JavaScript Compressor by Dean Edwards来混淆一个构建PowerShell下载器的函数,该下载器静默下载并通过rundll32.exe执行BadSpace后门。
BadSpace后门是一个PE32+ DLL,尽管未被打包,但高度混淆。它使用RC4加密字符串、Windows API DLL名称和函数名称,通过LoadLibraryW和GetProcAddress动态解析API。G DATA创建了一个IDA Python脚本,自动解码这些字符串和API,简化了分析过程。BadSpace采用多种反沙箱技术来避免检测,包括检查%TEMP%和%APPDATA%中的文件夹数量、注册表项和系统规格。通过这些检查后,它创建一个唯一的互斥体,并通过计划任务建立持久性,使用rundll32.exe执行后门。后门的初始C2通信涉及发送包含加密系统信息的cookie,这个cookie可能是其别名“WarmCookie”的来源。通信使用每个样本唯一的硬编码RC4密钥加密,并使用修改过的用户代理进行,这些代理中的额外空格启发了BadSpace的名称。
相关链接
https://securityonline.info/badspace-backdoor-new-malware-threat-infecting-high-ranking-websites/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享