骇客散布恶意软体的手法,越来越复杂。有资安业者提出警告,过往仰赖BAT批次档和PowerShell指令码(ps1)的骇客组织Silver Fox,大幅调整手法,意图让行踪更加隐密而难以被发现。
资安业者Morphisec揭露但除了利用提供浏览器下载的名义,Shmuel Uzan也提及这些骇客架设的另一个钓鱼网站,假冒中国简讯服务业者卡洛思。但无论是那个网站,使用者都会从中下载压缩档Setup.zip,内含执行档Setup.exe,若是执行,电脑就会被植入ValleyRAT。
从前述的Chrome下载网页使用简体中文,再加上假冒中国简讯服务业者,这起攻击行动很可能针对中国人士而来。
Morphisec分析Setup.exe的组成,发现此档案以.NET开发平台打造而成,执行时首先检查是否具备管理者权限,假如没有,它还会要求使用者授予必要的权限。
接著,该执行档会检查作业系统类型并下载sscronet.dll、douyin.exe、mpclient.dat、tier0.dll等额外的工具,然后在记忆体内载入sscronet.dll。而此DLL的用途,就是用来执行douyin.exe。
该执行档正是中国版抖音的主程式,骇客将其用于以侧载的手法,载入另一个恶意DLL档案Tier0.dll,并呼叫Nslookup掩人耳目,然后读取经加密处理的Shell Code档案mpclient.dat,最终以网路诊断工具Nslookup执行解密,于记忆体内执行ValleryRAT。
值得一提的是,mpclient.dat与作业系统的部分功能挂钩,例如:AmsiScanString、AmsiScanBuffer、EtwEventWrite,使得恶意程式能绕过反恶意软体扫描介面(AMSI)、Windows事件追纵(ETW)等内建防护机制,而能回避侦测。
再者,他们也提及恶意酬载注入的过程里,骇客利用了DLL挟持手法,其滥用的二进位档案来自Steam游戏,与杀戮空间2(Left 4 Dead 2)、恶灵势力2(Left 4 Dead 2)这两款游戏有关。