StyleServ 恶意软件充当后门
StyleServ 被归类为后门型恶意软件,属于旨在为系统进一步渗透或执行第二阶段感染做好准备的恶意程序类别。虽然 StyleServ 的确切目的目前尚不清楚,但它很可能是作为促进后续感染的初步工具。
如前所述,截至本报告发布时,StyleServ 的确切功能仍不确定。尽管如此,这种恶意软件很可能被用来扫描它所渗透的网络,搜索有助于推进攻击的信息,例如识别目标中现有的漏洞。
必须强调的是,此类工具通常用于多功能、有针对性的攻击,这些攻击取决于特定目标及其安全漏洞或缺乏安全漏洞。
众所周知,StyleServ 感染采用 DLL 侧面加载技术。该技术利用 Windows DLL 搜索顺序机制来利用合法程序来执行恶意负载,例如 StyleServ。
该后门用于涉及系统监控的被动攻击,其中包括扫描漏洞和开放端口等活动。一些被动攻击需要与目标系统进行最少的交互,而另一些则进行主动侦察。后者的一个例子是端口扫描,旨在收集有关网络如何运行的信息,重点是识别潜在的弱点和更深层次渗透的路径。
StyleServ的运作模式
在 StyleServ 的感染中,一旦 DLL 被激活,它就会启动五个线程,每个线程分配给不同的端口。这些线程以 60 秒的间隔定期尝试访问名为“stylers.bin”的文件。文件的合法性是根据其可用性以及是否满足特定标准来确定的。
如果该文件被认为有效,则后续线程在网络请求中使用该文件。这些线程主要充当“stylers.bin”的加密版本,并充当远程连接的接收器,监视网络套接字行为。
值得注意的是,StyleServ 与 Cur 恶意软件组织之间的联系很脆弱;该后门的示例是由上传 CurLu 加载程序变体的同一用户提供的。如果有关 StyleServ 与 CurLu 感染关联的猜测得到证实,则将在 StyleServ 与使用 Cur 恶意软件家族附属程序的同一威胁行为者之间建立联系。
