最新的网络安全研究发现,一种此前从未被记录的定制化恶意软件 SockDetour 被捕获分析,该恶意软件针对美国的国防承包商,其目的是作为受感染windows服务器上的备用后门。
根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,SockDetour 是一个后门程序,旨在隐匿在受感染的 Windows 服务器上,以便在主服务器出现故障时充当备用后门。该恶意软件很难被检测到,因为它在受感染的 Windows 服务器上无文件且无套接字地运行。
在对样本进行逆向分析时,发现该恶意软件样本的编译时间戳最早是在2019年7月,也就是说 SockDetour 恶意软件早在2019年就被使用,并且成功运行了2年半且一直没有被检测到。
这些攻击归因于名为TiltedTemple(微软又名 DEV-0322)的威胁集群,与 TiltedTemple 的联系来自攻击基础设施的重叠,其中一个用于促进 2021 年末活动的恶意软件分发的命令和控制 (C2) 服务器还托管 SockDetour 后门,以及内存转储实用程序和许多用于远程访问的 webshell。
对这些攻击的分析显示,SockDetour 于 2021 年 7 月 27 日从外部 FTP 服务器传送到美国国防承包商面向互联网的 Windows 服务器。
安全研究人员表示,托管 SockDetour 的 FTP 服务器是受损的优质网络设备提供商 (QNAP) 小型办公室和家庭办公室 (SOHO) 网络附加存储 (NAS) 服务器。已知 NAS 服务器存在多个漏洞,包括远程代码执行漏洞CVE-2021-28799。
更重要的是,据说同一台服务器已经感染了 QLocker 勒索软件,这增加了 TiltedTemple 攻击者利用上述漏洞获得未经授权的初始访问的可能性。
SockDetour 本身就是一个备用后门,它劫持合法进程的网络套接字以建立自己的加密 C2 通道,然后加载从服务器检索到的未识别插件 DLL 文件。因此,SockDetour 既不需要打开监听端口来接收连接,也不需要调用外部网络来建立远程 C2 通道,这使得从主机和网络级别检测后门变得更加困难。
极牛网精选文章《新型无文件无套接字后门程序SockDetour入侵美国国防承包商》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18318.html