间谍活动中使用的 DownEx 恶意软件
罗马尼亚网络安全研究人员发现了一种名为 DownEx 的新型恶意软件。
它被用于针对中亚政府组织的复杂间谍活动,有证据表明俄罗斯的威胁行为者参与其中。这些攻击是通过鱼叉式网络钓鱼电子邮件进行的,其中包含一个诱杀有效载荷,伪装成 Microsoft Word 文件。
打开附件后,会显示一个诱饵文档,而恶意 HTML 应用程序会在后台运行。该 HTA 文件旨在与远程命令和控制服务器建立联系以检索下一阶段的有效载荷,这被认为是建立持久性的后门。攻击者还使用自定义工具进行后期开发活动,包括用于枚举网络资源的基于 C/C++ 的二进制文件、用于接收窃取文件、删除其他恶意软件和捕获屏幕截图指令的 Python 脚本,以及名为 DownEx 的基于 C++ 的恶意软件将文件泄露到 C2 服务器。
还发现了另外两种 DownEx 变体。研究人员进一步指出,这是一种无文件攻击,这意味着恶意脚本仅存在于内存中,永远不会进入受害者的驱动器。
什么是无文件恶意软件,是什么让它特别危险?
无文件恶意软件是一种在计算机内存中运行的恶意软件,不会在硬盘驱动器上留下任何痕迹。这使得使用传统防病毒软件检测和删除特别困难,因为没有文件可供扫描。无文件恶意软件通常不依赖于文件或可执行文件,而是通过社交工程、漏洞利用或文档中的恶意宏等技术进行传播。
无文件恶意软件的主要特征之一是它使用系统上已有的合法程序或工具(例如 PowerShell 或 Windows Management Instrumentation (WMI))来执行其恶意活动。通过这样做,无文件恶意软件可以混入合法的系统活动并逃避传统防病毒软件的检测。
无文件恶意软件特别危险的另一个原因是它通常可以绕过端点保护措施,例如防火墙、入侵检测和预防系统 (IDS/IPS) 以及依赖基于文件的签名或模式匹配算法的其他安全工具。此外,由于它不向磁盘写入任何内容,因此可以在更长的时间内保持未被发现,并且更有可能在被发现之前实现其目标。
无文件恶意软件通常用于有针对性的攻击,例如针对金融机构或其他高价值目标的攻击,目标是获取对敏感信息或系统的访问权限。它还可用于更广泛的攻击,例如勒索软件活动,攻击者希望感染尽可能多的系统。