图片来源:
Check Point
资安业者Check Point与Sygnia联手,此恶意程式框架的元件,由Shell Code载入程式,以及在记忆体常驻的Shell Code酬载组成,其中一个元件就是以C语言编写的后门程式Liontail,此为档案很小、但功能相当复杂的被动后门程式,骇客为其设置一组URL监听名单,攻击者一旦向这些网址发送请求,此后门程式就会执行当中挟带的恶意酬载。
其中,比较特别的是,在DLL搜寻顺序挟持的攻击过程当中,骇客锁定Windows Server作业系统缺乏的DLL档案,如wlanapi.dll、wlbsctrl.dll,将后门程式命名为上述DLL档案名称,然后再透过Windows档案总管或其他的处理程序,或是将某些预设停用的服务启用,载入DLL程式库型态的后门程式。
在攻击者将后门程式命名为wlbsctrl.dll的情况,他们会在名为IKE and AuthIP IPsec Keying Modules的服务启动时载入DLL档案,此时攻击者会将可延伸验证通讯协定(EAP)开启。
若是后门程式以可执行档的型态进行部署,骇客会将其假冒为Palo Alto Networks的资安产品Cortex XDR元件Cyvera Console。
研究人员指出,此后门程式与C2进行通讯的做法较为罕见,骇客利用IOCTL(Input and Output Control)介面,直接与底层的驱动程式HTTP.sys进行互动来达成,由于这种方式不透过IIS或HTTP的API,不仅资安防护系统无法监控,也不会留下任何事件记录。研究人员强调,由于HTTP.sys的IOCTL没有相关资讯可供参考,攻击者必须进一步研究才能找到具体的方法,因此骇客采用上述的通讯手法隐匿攻击行动,并非易事。