【安全资讯】BadSpace后门:感染高排名网站的新型恶意软件威胁

安恒恒脑 2024-06-14 22:00:00 1019人浏览

概要:

近日,网络安全研究人员发现了一种名为“BadSpace”的复杂新型后门程序,对互联网用户构成了重大威胁。该后门程序首次由威胁情报分析师Gi7w0rm于5月19日披露,最初由研究员@kevross33发现。网络安全公司G DATA对该后门的感染链和功能进行了深入分析,揭示了涉及多个高排名网站的多阶段攻击。

主要内容:

BadSpace通过复杂的感染链传播,起始于被感染的网站。恶意活动首先设置一个cookie,以跟踪用户是否访问过该网站。在首次访问时,网站会构建一个包含设备类型、IP地址、引用来源、用户代理、域名和位置等参数的URL,并发送GET请求。响应负载可以覆盖初始网页,除非返回错误消息。

BadSpace的攻击者主要针对WordPress网站,在JavaScript库如jQuery或直接在索引页面中注入恶意代码。G DATA研究人员获取了多个JScript文件,这些文件通过扩展名伪装(如“.pdf.js”)来投放和运行BadSpace后门。一个显著的特点是伪装成Google Chrome更新提示,当用户下载所谓的更新时,会直接安装恶意后门或一个JScript文件以便下载。

这些用于命令和控制(C2)服务器的域名与威胁行为者SocGholish有关,该组织在过去的活动中使用了类似的技术。JScript下载器使用多种混淆技术来逃避检测,首先通过三个函数和一个字符串数组来模糊其操作。最终,脚本使用JavaScript Compressor by Dean Edwards来混淆一个构建PowerShell下载器的函数,该下载器静默下载并通过rundll32.exe执行BadSpace后门。

BadSpace后门是一个PE32+ DLL,尽管未被打包,但高度混淆。它使用RC4加密字符串、Windows API DLL名称和函数名称,通过LoadLibraryW和GetProcAddress动态解析API。G DATA创建了一个IDA Python脚本,自动解码这些字符串和API,简化了分析过程。BadSpace采用多种反沙箱技术来避免检测,包括检查%TEMP%和%APPDATA%中的文件夹数量、注册表项和系统规格。通过这些检查后,它创建一个唯一的互斥体,并通过计划任务建立持久性,使用rundll32.exe执行后门。后门的初始C2通信涉及发送包含加密系统信息的cookie,这个cookie可能是其别名“WarmCookie”的来源。通信使用每个样本唯一的硬编码RC4密钥加密,并使用修改过的用户代理进行,这些代理中的额外空格启发了BadSpace的名称。
恶意代码 后门 数据泄露 IT行业 电子商务
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。