如何利用U盤傳送惡意軟體實施無文件攻擊

E安全9月1日訊 趨勢科技8月初分析了無文件後門 JS_POWMET，攻擊分子使用JS_POWMET.DE（濫用了各種合法功能的腳本）在目標系統上以無文件形式安裝後門BKDR_ANDROM.ETIN。

起初，趨勢科技並不清楚威脅如何到達目標設備，研究人員當時猜想是用戶下載或由其它惡意軟體丟給目標設備。

最近，趨勢科技研究發現之前的猜想是錯誤的，JS_POWMET竟然是通過U盤感染目標。

無文件後門 JS_POWMET技術細節

U盤包含兩個惡意文件（ 趨勢科技檢測為TROJ_ANDROM.SVN），如下：

• addddddadadaaddaaddaaaadadddddaddadaaaaadaddaa.addddddadadaaddaaddaaaadadddddadda

• IndexerVolumeGuid

U盤中的autorun.inf 文件可能被修改運行上述第一個文件，該文件能解密第二個文件的內容，這兩個文件之後載入內存運行。解密器的文件名充當該實例中的加密密鑰，被感染系統上實際並未保存文件。

解密代碼負責創建自動啟動註冊表項。趨勢科技指出，感染的最終結果是安裝後門BKDR_ANDROM.ETIN。

感染鏈

研究人員強調了兩點。

第一，Windows版本不同，過程會有差異，Windows 10的過程相對簡單：創建註冊表項，下載並在被感染系統上執行後門。然而Windows 10之前的Windows版本會多一個步驟：第二個後門（趨勢科技檢測為BKDR_ANDROM.SMRA）會丟在 %AppData%文件夾中，其文件名為ee{8 random characters}.exe，同時還會在用戶啟動文件夾中創建快捷方式，確保第二個後門自動執行。

第二，創建的註冊表項中包含的URL不同：其中一個URL用於Windows 10，而另一個用於Windows 10之前的版本。雖然研究人員未發現實際行為有任何不同之處，但攻擊者可能會根據用戶的操作系統發起不同的攻擊。

目前尚不清楚第二個後門安裝相對簡單的原因，有可能是為了轉移注意力，因為相比第一個無文件後門，研究人員或用戶更容易發現第二個後門，然而移除第二個後門可能會讓第一個更隱秘的無文件威脅不易被發現。

此類攻擊相關的SHA-256哈希如下：

• 24bc305961cf033f78bc1a162c41a7c1a53836a6ccbb197a5669b5f8a9f5251d

• 89dd71692bce3bb51a053570eb87fb5a9b5e1513fc1741f51b785e1137bd3cd1

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！