StyleServ 惡意軟體充當後門

StyleServ 被歸類為後門型惡意軟體，屬於旨在為系統進一步滲透或執行第二階段感染做好準備的惡意程式類別。雖然 StyleServ 的確切目的目前尚不清楚，但它很可能是作為促進後續感染的初步工具。

如前所述，截至本報告發佈時，StyleServ 的確切功能仍不確定。儘管如此，這種惡意軟體很可能被用來掃描它所滲透的網絡，搜尋有助於推進攻擊的信息，例如識別目標中現有的漏洞。

必須強調的是，此類工具通常用於多功能、有針對性的攻擊，這些攻擊取決於特定目標及其安全漏洞或缺乏安全漏洞。

眾所周知，StyleServ 感染採用 DLL 側載技術。該技術利用 Windows DLL 搜尋順序機制來利用合法程式來執行惡意負載，例如 StyleServ。

此後門用於涉及系統監控的被動攻擊，其中包括掃描漏洞和開放連接埠等活動。有些被動攻擊需要與目標系統進行最少的交互，而有些則進行主動偵察。後者的一個例子是連接埠掃描，旨在收集有關網路如何運作的信息，重點是識別潛在的弱點和更深層滲透的路徑。

StyleServ的運作模式

在 StyleServ 的感染中，一旦 DLL 被激活，它就會啟動五個線程，每個線程分配給不同的連接埠。這些線程以 60 秒的間隔定期嘗試存取名為“stylers.bin”的檔案。文件的合法性是根據其可用性以及是否符合特定標準來確定的。

如果該檔案被認為有效，則後續執行緒在網路請求中使用該檔案。這些線程主要充當“stylers.bin”的加密版本，並充當遠端連接的接收器，監視網路套接字行為。

值得注意的是，StyleServ 與 Cur 惡意軟體組織之間的連結很脆弱；此後門的範例是由上傳 CurLu 載入程式變體的相同使用者提供的。如果有關 StyleServ 與 CurLu 感染關聯的猜測得到證實，則將在 StyleServ 與使用 Cur 惡意軟體家族附屬程式的相同威脅行為者之間建立聯繫。