對於剛接觸資安分析的工程師來說,分析一次完整的攻擊流程(Attack Chain)比單看一個病毒樣本更有價值。最近由 Kaspersky 揭露了由 Silver Fox(一個中國背景的威脅組織)發起的攻擊活動,他們針對印度與俄羅斯等國,利用稅務主題的社交工程,部署了一款名為 ABCDoor 的新型後門程式。
這次攻擊最值得關注的不是單一的惡意軟體,而是它如何透過多層次的載入器(Loader)來規避偵測,以及它使用的一種非常巧妙的持久化手段。
社交工程與初步入侵
攻擊的起點是典型的 Phishing(網路釣魚)。攻擊者會發送偽裝成官方稅務部門的電子郵件,內容通常是關於稅務審計或違規清單。這類攻擊利用了「季節性」與「恐懼感」,讓受害者在壓力下點擊 PDF 文件中的連結,進而下載 ZIP 或 RAR 壓縮檔。
在資安領域,PDF 常被用作跳板,因為它能承載連結或嵌入惡意腳本,將使用者引導至外部惡意伺服器下載實際的攻擊載荷。
多層載入器的規避策略
Silver Fox 並非直接發送後門程式,而是採取了分層載入的策略,目的是為了繞過防毒軟體(AV)與沙箱(Sandbox)的偵測。
第一層是 RustSL。這是一個基於 Rust 語言開發的 Shellcode Loader(殼程式載入器)。Rust 語言因其記憶體安全且編譯後為機器碼,使得特徵碼較難被傳統防毒軟體識別。RustSL 的主要工作是解密並執行後續的惡意程式碼。
為了防止分析人員在虛擬機中分析,RustSL 實作了 Geofencing(地理圍欄)與環境檢查。它會檢查系統是否在虛擬機中執行,並核對目標國家的 IP 位址。如果發現是在非目標國家(例如分析人員所在的地區)執行,它就不會啟動惡意功能。
第二層是 ValleyRAT。當 RustSL 確認環境安全後,會下載並執行 ValleyRAT(又稱 Winos 4.0)。這是一個功能強大的遠端存取木馬(RAT),負責與 C2(Command and Control,指令控制伺服器)通訊,接收攻擊者的指令。
最終目標:ABCDoor 後門
在 ValleyRAT 穩定運行後,攻擊者會部署最終的武器 ABCDoor。這是一個用 Python 編寫的後門程式。ABCDoor 的功能非常全面,包括截圖、遠端控制鍵盤滑鼠、操作檔案系統、管理系統程序以及竊取剪貼簿內容。
使用 Python 編寫後門的一個原因是開發速度快且跨平台能力強,雖然需要打包成執行檔,但配合前段的 Rust 載入器,可以有效降低被偵測的機率。
Phantom Persistence:一種新型的持久化技術
持久化(Persistence)是指惡意軟體在電腦重新啟動後,如何確保自己能再次自動執行。Silver Fox 使用了一種稱為 Phantom Persistence(幻影持久化)的技術。
一般軟體在需要更新並要求重新啟動時,會利用系統的正常關機流程來完成安裝。Phantom Persistence 則是濫用這個機制:它會攔截系統的關機訊號(Shutdown Signal),暫停正常的關機程序,然後偽裝成一個正在進行的系統更新。
當電腦重新啟動時,系統會認為該更新尚未完成,從而優先執行該惡意載入器。這種方式巧妙地將惡意啟動隱藏在正常的系統更新行為之中,讓管理員很難從啟動項或註冊表(Registry)中一眼看出異常。
總結與工程師的啟示
這次攻擊展示了現代威脅組織的運作模式:從精準的社交工程開始,利用 Rust 語言編寫的載入器規避偵測,透過多層結構降低風險,最後利用系統底層機制實現隱蔽持久化。
對於工程師而言,這提醒我們不能僅依賴特徵碼比對的防毒軟體。我們需要關注的是行為分析(Behavioral Analysis),例如監控異常的網路連線(C2 通訊)以及不尋常的系統關機/啟動行為。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。