Powload进化之路:从无文件技术到使用隐写术

关注 2019-04-11 06:12:22 查看数 9217 ,评论数 0 资讯

Powload在威胁环境中的持久力让它越走越远。事实上,2018年上半年宏观恶意软件的上升是由通过垃圾邮件分发的Powload引起的,Powload也是2018年北美地区最普遍的威胁之一,利用各种技术分发有效负载,例如信息窃取Emotet、Bebloh和Ursnif。趋势科技检测到的Powload以及其在2018年分析的相关案例/事件和样本数量与2017年相比也显著增加。另一方面,Powload不断发展的技术也表明它会走得更远。虽然通过垃圾邮件分发的方法可能不会改变,但它采用了不同的方式来提供有效负载,从绕过文件预览模式等措施到使用无文件技术和劫持电子邮件帐户。

检测到的Powload数量(左)以及Powload样本数量(右)


在最近与Powload相关的一些事件中,研究人员发现垃圾邮件中的一些附件发生了重大变化:使用隐写术并且针对特定国家/地区。例如,研究人员在2018年初分析的样本的感染链更加直接。这些更新可以让恶意例程规避检测。


使用这些技术的Powload变体会执行Ursnif和Bebloh数据窃取程序。研究人员没有发现有效负载的例程有任何明显的差异,分发策略也类似于去年发现的垃圾邮件活动。在去年的垃圾邮件活动中,信息窃取程序相同,不过通过Cutwail僵尸网络分发。


Powload如何使用隐写术


隐写术——在图像中隐藏代码——并不是什么新技术,黑客组织使用隐写技术来检索后门;漏洞利用工具包使用它来隐藏恶意广告流量,而其他威胁使用它来隐藏其命令和控制(C&C)通信。


对于Powload而言,它使用隐写术来检索包含恶意代码的图像。基于研究人员分析的Powload变体的代码提取例程,他们滥用公开可用的脚本(Invoke-PSImage)来创建包含其恶意代码的图像。


垃圾邮件中的附件包含嵌入在文档中的恶意宏代码,该代码执行PowerShell脚本,而该脚本下载在线托管的图像。然后处理下载的图像以获取隐藏在图像内的代码。

恶意代码

包含恶意代码的图像

垃圾邮件示例


有针对性的活动


研究人员在Powload嵌入式垃圾邮件中观察到的另一个趋势是其目标非常有针对性。挑选一个国家——使用特定地区的品牌和词汇——来发送垃圾邮件,电子邮件内容及其附件对于受害者来说更具说服力。


另一个遗憾是自动、传统的沙盒解决方案,其区域设置未设置为垃圾邮件的目标国家/地区,所以无法正确分析恶意软件。


区域检测方法根据分析样本的不同而不同,有些使用PowerShell命令“Get-Culture”来获取计算机的区域设置,有些在Excel中获取xlCountrySetting属性的值(它返还有关当前区域设置的信息)以确定受感染计算机的位置。另一方面,一些样本通过访问URL(hxxp://ipinfo.io/country)来确定位置,这是一个返还IP地址归属地的免费工具。


PowerShell脚本



总结


Powload的持久性是2018年最普遍的威胁之一,它突出了其最新技术的有效性——尽管相对较老。用户必须始终实行网络安全措施,更加谨慎的对待电子邮件,而企业应该采取积极的应对措施,以确保其业务正常运转。

交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...