有鉴于受害企业组织所在的领域相当广泛,研究人员难以确认意图,但怀疑骇客主要目的不再是经济利益,而是从事间谍活动。
SnipBot会造成哪些问题?研究人员最早发现的攻击型态是PDF档案,电脑开启这个档案之后,就会弹出警示视窗,当中声称缺乏必须的字体而无法正法显示内容,假若使用者依此指引而去下载相关字型套件,电脑就有可能遭到SnipBot感染。
根据逆向工程的结果进行分析,骇客透过钓鱼邮件启动整个感染链,一旦使用者点选其中的URL,就会下载对方伪装成PDF档案的恶意程式下载工具,此执行档搭配合法的证书签章,并采用两种手法回避沙箱的侦测。
其中一种是比对经过杂凑处理的名称,以便确认原始档名;另一种则是检查特定的机码,确认是否有超过100项最近开启过的档案,而这么做的目的,就是确认受害电脑是否为沙箱环境。
再者,这个恶意程式下载工具,同时利用视窗讯息为基础的混淆手法,将恶意程式码区分为多个区块。此外,骇客也将C2网域、动态解析的API功能函数进行加密处理,防堵静态侦测机制。
一旦此恶意程式下载工具执行,就会从C2网域尝试取得PDF档案及SnipBot有效酬载。此恶意程式的主程式能让攻击者于受害电脑执行命令,或是上传及下载档案的功能,再者,攻击者也能从伺服器下载相关附加模组,以便执行进一步的活动。
实际上,骇客如何运用SnipBot?在其中一起攻击行动里,他们试图收集受害组织内部网路资讯,接著将电脑里的文件档案、云端档案共享服务OneDrive的档案,借由WinRAR打包,并透过PuTTY外传,这一系列窃取资料的过程,骇客也企图借由AD Explorer建立本机AD资料库的快照。