随著全球对于资讯安全的重视,骇客也使用过往极为罕见的手法来回避相关防御机制,使得防守方应对相关威胁难度大幅提升。
例如,资安业者Zscaler在今年4月发现过往未曾公开的研究人员指出,DodgeBox采用多种回避侦测的手法,包括:呼叫记忆体堆叠欺骗(Call Stack Spoofing)、DLL侧载、DLL处理程序挖空,以及
此外,该后门程式采用模组化设计,使得攻击者能轻易对于不同情境调整功能,或是加入新的能力。 究竟这个后门的运作方式为何?一旦MoonWalk于受害电脑的记忆体内载入,就会解密C2、Utility两项内嵌模组并启动,然后建立C2连线。 不过,研究人员指出MoonWalk有多项特别的运作方式,首先,在初始化的时候会卸除载入工具DodgeBox,并使用随著近年来全球资安威胁加剧,这种鲜为人知的功能成为骇客利用的对象,也有研究人员与红队演练关注这类机制。研究人员指出,APT41滥用这种作业系统功能,使得MoonWalk有机会逃过部分防毒软体或EDR系统的侦测,甚至能够破坏控制流程,导致研究人员分析难度提高。 完成上述准备工作后,MoonWalk才会解密、载入配置及外挂模组,最终与C2连线。此后门程式的主要功能,除能执行骇客下达的命令,还包含了收集系统资讯、窃取凭证,甚至能产生登入Windows作业系统的凭证。