新型无文件无套接字后门程序SockDetour入侵美国国防承包商

最新的网络安全研究发现，一种此前从未被记录的定制化恶意软件 SockDetour 被捕获分析，该恶意软件针对美国的国防承包商，其目的是作为受感染windows服务器上的备用后门。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，SockDetour 是一个后门程序，旨在隐匿在受感染的 Windows 服务器上，以便在主服务器出现故障时充当备用后门。该恶意软件很难被检测到，因为它在受感染的 Windows 服务器上无文件且无套接字地运行。

在对样本进行逆向分析时，发现该恶意软件样本的编译时间戳最早是在2019年7月，也就是说 SockDetour 恶意软件早在2019年就被使用，并且成功运行了2年半且一直没有被检测到。

这些攻击归因于名为TiltedTemple（微软又名 DEV-0322）的威胁集群，与 TiltedTemple 的联系来自攻击基础设施的重叠，其中一个用于促进 2021 年末活动的恶意软件分发的命令和控制 (C2) 服务器还托管 SockDetour 后门，以及内存转储实用程序和许多用于远程访问的 webshell。

对这些攻击的分析显示，SockDetour 于 2021 年 7 月 27 日从外部 FTP 服务器传送到美国国防承包商面向互联网的 Windows 服务器。

安全研究人员表示，托管 SockDetour 的 FTP 服务器是受损的优质网络设备提供商 (QNAP) 小型办公室和家庭办公室 (SOHO) 网络附加存储 (NAS) 服务器。已知 NAS 服务器存在多个漏洞，包括远程代码执行漏洞CVE-2021-28799。

更重要的是，据说同一台服务器已经感染了 QLocker 勒索软件，这增加了 TiltedTemple 攻击者利用上述漏洞获得未经授权的初始访问的可能性。

SockDetour 本身就是一个备用后门，它劫持合法进程的网络套接字以建立自己的加密 C2 通道，然后加载从服务器检索到的未识别插件 DLL 文件。因此，SockDetour 既不需要打开监听端口来接收连接，也不需要调用外部网络来建立远程 C2 通道，这使得从主机和网络级别检测后门变得更加困难。