网络攻击的手法层出不穷,其中恶意软件的分发和潜伏成为了常见的威胁。以快连VPN为例,攻击者通过伪装成正规软件的方式进行传播,将恶意软件悄悄植入用户设备中。攻击的开始,往往是从用户在搜索引擎中搜索目标软件的名字开始。当用户搜索“快连VPN”时,搜索结果中可能会出现一些水坑网站,它们托管着恶意安装包,企图欺骗用户。这些水坑网站的域名常常试图模仿目标软件的名字,让人误以为是正规渠道。攻击者可能还对这些网站进行了搜索引擎优化,使其在搜索结果中更容易被用户发现,甚至出现在首页。这样一来,用户在不经意间就可能陷入陷阱。一旦用户点击进入这些水坑网站,往往会直接看到下载页面,上面列出了下载链接。但实际上,这些链接指向的都是同一个下载链接,用户下载的压缩包内包含了一个MSI安装文件,其中潜伏着恶意软件。这个MSI安装文件中包含了一个名为KUAIVPNEXE的文件。安装程序会将这个文件释放到指定目录下并运行。这个恶意软件的基本信息包括MD5、文件名、文件大小等等。然后,KUAIVPNEXE会在系统中释放另一个文件夹,这个文件夹实际上是一个ZIP压缩包,里面包含了正常的快连VPN安装程序。接着,KUAIVPNEXE会从这个ZIP文件中解密出一个DLL文件并加载,调用其中的导出函数‘_LEVNC‘。为了解密这个DLL文件,恶意程序使用了按字节加9再异或0X27的方式。
随后,这个恶意软件会进行一系列操作,包括检测样本是否被调试,检查CPU数量和内存大小等。然而,这些检测并不会真正起到作用。接着,它会组装存放恶意组件的目录路径,并释放并运行BAT脚本,通过注册表设置关闭UAC提示。此外,它还会解压ZIP压缩包到指定目录中,解压密码被硬编码在代码中。最后,恶意DLL会拆分成C和K两个文件,然后正常的安装程序被运行,用以迷惑受害者,同时启动其他程序。至此,安装程序完成操作。
接着,我们来看LOADER程序。这个程序通过动态加载的方式调用恶意DLL的导出函数,然后从一个LPTXT文件中解密出远程控制木马并加载运行。通过获取API并解密,最终恢复出待加载的PE数据。
最后,我们看到了这个木马程序本身。它是一款使用HP-SOCKET通信库的修改版GH0ST RAT。在检测是否被调试、CPU数量和内存大小之后,木马程序会初始化多个C2服务器的IP和端口信息。而后,它会逐一尝试解密这些信息,并与木马进程对应的目录名进行比对,选择合适的C2服务器。如果木马程序缺乏管理员权限,它会尝试以管理员身份重新运行,如果已经有了管理员权限,则会建立持久化,确保恶意程序长期潜伏在系统中。至此,攻击者通过多层次的伪装和潜伏,成功地将恶意软件植入到用户设备中,构成了一次典型的网络攻击行为。
本文暂时没有评论,来添加一个吧(●'◡'●)