【安全资讯】BadSpace后门：感染高排名网站的新型恶意软件威胁

概要：

近日，网络安全研究人员发现了一种名为“BadSpace”的复杂新型后门程序，对互联网用户构成了重大威胁。该后门程序首次由威胁情报分析师Gi7w0rm于5月19日披露，最初由研究员@kevross33发现。网络安全公司G DATA对该后门的感染链和功能进行了深入分析，揭示了涉及多个高排名网站的多阶段攻击。

主要内容：

BadSpace通过复杂的感染链传播，起始于被感染的网站。恶意活动首先设置一个cookie，以跟踪用户是否访问过该网站。在首次访问时，网站会构建一个包含设备类型、IP地址、引用来源、用户代理、域名和位置等参数的URL，并发送GET请求。响应负载可以覆盖初始网页，除非返回错误消息。

BadSpace的攻击者主要针对WordPress网站，在JavaScript库如jQuery或直接在索引页面中注入恶意代码。G DATA研究人员获取了多个JScript文件，这些文件通过扩展名伪装（如“.pdf.js”）来投放和运行BadSpace后门。一个显著的特点是伪装成Google Chrome更新提示，当用户下载所谓的更新时，会直接安装恶意后门或一个JScript文件以便下载。

这些用于命令和控制（C2）服务器的域名与威胁行为者SocGholish有关，该组织在过去的活动中使用了类似的技术。JScript下载器使用多种混淆技术来逃避检测，首先通过三个函数和一个字符串数组来模糊其操作。最终，脚本使用JavaScript Compressor by Dean Edwards来混淆一个构建PowerShell下载器的函数，该下载器静默下载并通过rundll32.exe执行BadSpace后门。

BadSpace后门是一个PE32+ DLL，尽管未被打包，但高度混淆。它使用RC4加密字符串、Windows API DLL名称和函数名称，通过LoadLibraryW和GetProcAddress动态解析API。G DATA创建了一个IDA Python脚本，自动解码这些字符串和API，简化了分析过程。BadSpace采用多种反沙箱技术来避免检测，包括检查%TEMP%和%APPDATA%中的文件夹数量、注册表项和系统规格。通过这些检查后，它创建一个唯一的互斥体，并通过计划任务建立持久性，使用rundll32.exe执行后门。后门的初始C2通信涉及发送包含加密系统信息的cookie，这个cookie可能是其别名“WarmCookie”的来源。通信使用每个样本唯一的硬编码RC4密钥加密，并使用修改过的用户代理进行，这些代理中的额外空格启发了BadSpace的名称。