聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该后门由原生的x64二进制和一个 .NET 汇编组成,前者用作执行器,后者用作协调器。该恶意软件以DLL的形式部署在该系统,滥用 WMI 事件订阅实现持久性。一旦执行,DLL就会加载、解密并执行存储在 Windows 注册表中的加密 shellcode,从而解密和运行 Deadglyph 的执行器组件。该组件用于加载配置并初始化 .NET 运行时以及加载嵌入式 .NET 代码(即协调器)。
Deadglyph 的 .NET 组件设立命令和控制通信并执行命令。它使用计时和网络模块定期以及随机与C&C 服务器进行通信,以阻止可检测到的模式。该C&C 服务器以任务的形式向该后门的组件发送命令。该协调器可用于修改网络和计时模块的配置,而执行器任务用于管理该后门并运行额外模块。
ESET 认为该执行器可捕获最多14个不同的用作后门命令的模块,而这些模块用作具有一个未命名导出的DLL。执行时,这些模块被提供可解析 Windows API 和自定义 Executor API 的API 解析函数。ESET 识别到与 Executor API 的39种函数,包括文件操作、加密和哈希、压缩、PE 加载、工具和访问令牌模拟。
其中一个模块负责收集关于操作系统、网络适配器、已安装应用、驱动、服务器、进程、用户、安全软件和环境变量的信息。ESET 在调查 Deadglyph 的过程中发现了以过期证书签名的 CPL 文件被上传到 VirusTotal 中,作为多阶段 shellcode 下载器,且与 Stealth Falcon 的后门代码之间存在相似之处。
Stealth Falcon 至少活跃于2012年,且被指与阿联酋相关,主要攻击记者、活动家以及异见人士。从类似的攻击目标和攻击活动入手,Amnesty International 在2019年认为该恶意软件就是 Project Raven,即之前被认为是 NSA 作战团队的组成部分。
索尼推出 PlayStation 漏洞奖励计划,最严重漏洞5万美元起步
索尼PlayStation Network及微软Xbox Live被黑
索尼推出 PlayStation 漏洞奖励计划,最严重漏洞5万美元起步
https://www.securityweek.com/uae-linked-apt-targets-middle-east-government-with-new-deadglyph-backdoor/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~