近年來針對金融機構的攻擊手段已不再僅僅依賴簡單的釣魚網站,而是演變成一套高度模組化且善於偽裝的技術組合。根據 WatchGuard 與 ESET 的最新研究,兩款針對 Windows 與 Android 平台的惡意軟體 Grandoreiro 與 BTMOB 揭示了當前威脅 actors 如何利用合法流量與服務化模型來降低攻擊門檻並規避偵測。
Windows 端的隱匿術:DLL 側載與 WebRTC 偽裝
Grandoreiro 是一款歷史悠久的銀行木馬,其核心目標是竊取全球數千家金融機構的憑證。對於工程師來說,最值得關注的是它近期採用的 DLL Side-Loading(DLL 側載)技術。
所謂 DLL 側載,是指惡意程式利用某些合法軟體在載入 DLL(動態連結庫)時的搜尋順序漏洞。攻擊者將惡意 DLL 偽裝成合法名稱並放置在合法執行檔相同的目錄下,當合法程式啟動時,系統會優先載入該惡意 DLL 而非系統路徑下的正確版本。這樣做能讓惡意行為在一個受信任的進程中執行,有效繞過許多基於白名單的防禦機制。
更進一步地,Grandoreiro 引入了 WebRTC(網頁即時通訊)相關的協議來掩蓋其 C2(命令與控制)流量。它使用了 STUN(Session Traversal Utilities for NAT)與 ICE(Interactive Connectivity Establishment)協議。這兩種協議通常用於視訊會議軟體(如 Zoom 或 Google Meet),目的是幫助位於 NAT(網路位址轉換)後方的設備發現自己的公網 IP 與連接埠,以建立點對點通訊。
對攻擊者而言,將惡意流量偽裝成視訊會議流量具有極大優勢,因為這類流量在企業網路中非常普遍且量大,特徵雜亂,安全設備很難在不影響業務的情況下將其從正常的視訊通訊中區分出來。
Android 端的威脅:BTMOB 與 RAT 服務化
在行動端,BTMOB 則代表了另一種趨勢:RAT(遠端存取木馬)的服務化。BTMOB 具備極強的控制能力,包括截圖、記錄按鍵、自動化竊取憑證,甚至能針對特定 App 注入 HTML 頁面來欺騙使用者輸入密碼。
BTMOB 最危險之處在於它採取了 MaaS(Malware-as-a-Service,惡意軟體即服務)的商業模式。開發者提供了一個 APK Builder(安裝包建構器)介面,讓即使不懂程式碼的低階攻擊者,也能快速生成針對特定地區、特定誘餌的惡意 APK 檔案。
其感染路徑通常是透過社交工程,誘導使用者下載偽裝成串流媒體或加密貨幣平台的 APK。一旦安裝,它會請求 Android 的 Accessibility Services(輔助功能服務)。這個權限原本是用於幫助身障人士操作手機,但被木馬利用後,它可以自動點擊螢幕、授予自身額外權限,甚至在使用者完全不知情的情況下接管整個設備。
這種服務化模型將攻擊門檻降至最低。目前 BTMOB 甚至有月租制或終身授權的價格表,甚至出售完整的 C2 後端原始碼,讓買家能自行部署控制面板。
實務上的啟示與防禦思考
這兩起案例給工程師與資安維運人員的啟示是,單純依賴特徵碼或靜態掃描已不足夠。
首先,針對 Windows 環境,應關注異常的 DLL 載入行為,特別是那些不應該出現 WebRTC 流量的應用程式。監控 STUN/ICE 協議的異常連線方向,可能是發現潛在木馬的突破口。
其次,針對 Android 環境,應教育使用者嚴格管控輔助功能服務(Accessibility Services)的權限授予。任何非必要且來源不明的 App 要求開啟此權限,幾乎都應視為高風險行為。
總結來說,現代惡意軟體正朝向兩極發展:一方是追求極致隱匿,利用合法協議與系統漏洞進行偽裝;另一方則是追求規模化,透過工具化與服務化讓更多攻擊者能快速部署。面對這種趨勢,建立以行為分析為核心的偵測機制比單純封鎖惡意域名更為重要。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。