svchost一直在下載(svchost一直在下載,流量傷不起呀)

據美國科技媒體BleepingComputer報道，一場新的網絡釣魚活動正在試圖借助一種名為“BazarBackdoor”的新型后門木馬來獲取目標企業網絡的完全訪問權限。基于代碼的相似性，臭名昭著的TrickBot銀行木馬的開發人員被認為是幕后黑手。

在這場活動中，釣魚郵件可能是各種主題，如客戶投訴、新型冠狀病毒以及裁員表。

圖1.冒充客戶投訴釣魚郵件示例（惡意鏈接指向托管在Google Docs上的誘餌文檔）

在發送釣魚郵件時，攻擊者使用了Sendgrid（一個電子郵件服務平臺，可以幫助發件人跟蹤他們的電子郵件統計數據。）

圖2.釣魚郵件通過Sendgrid發送

誘餌文檔可能是Word文檔、Excel電子表格或PDF文件，且與釣魚郵件的主題相對應。

無論誘餌文檔采用的是哪種格式，它們都有一個共同的特點——無法正常在線預覽。也就是說，想要查看其內容，就只能下載。

圖3.“新型冠狀病毒”主題誘餌文檔

圖4.“客戶投訴”主題誘餌文檔

盡管下載的文件采用了Word、Excel或PDF的圖標，但實際上它們全是可執行文件。例如，“新型冠狀病毒”主題誘餌文檔對應的文件名為“PreviewReport.DOC.exe”，“客戶投訴”主題誘餌文檔對應的文件名為“Preview.PDF.exe”。

但是，由于Windows默認情況下不顯示文件擴展名，因此收件人看到的文件名只會是“PreviewReport.DOC”和“Preview.PDF”，誤認為它們是Word和PDF文檔。

分析表明，可執行文件正是BazarBackdoor的加載程序。一旦啟動，后門就將隱蔽地安裝在收件人的計算機上。

圖5.BazarBackdoor加載程序

在收件人啟動下載的文件后，加載程序首先會休眠一段時間，然后才會連接到命令和控制（C2）服務器以下載后門有效載荷。

在BleepingComputer的測試中，首個C2請求始終返回404 HTTP錯誤代碼。

圖6.C2通信

但是，第二個C2請求將下載XOR加密的有效載荷，即BazarBackdoor后門木馬。

圖7.XOR加密的有效載荷

最終，有效載荷將以無文件的形式注入“C:Windowssystem32svchost.exe”進程。BleepingComputer表示，這是通過Process Hollowing和 Process Doppelg?nging技術來完成的。

圖8.將后門注入svchost.exe

由于Windows任務管理中時刻都運行著大量的svchost.exe進程，因此大多數用戶都不太可能會注意到什么時候多出了一個這樣的進程，進而也就不會注意到后門的存在。

此外，加載程序還被配置為在用戶登錄Windows時啟動，這將允許后門的新版本被下載以及注入svchost.exe進程。

圖9.添加的計劃任務

一段時間后，后門程序將在受害者的計算機上下載并執行滲透測試神器Cobalt Strike，以向攻擊者提供對受害者計算機的完全訪問權限。

相似的釣魚郵件格式、傳播方法以及代碼，都表明BazarBackdoor很有可能是由TrickBot銀行木馬背后的同一組織開發的。

此外，BazarBackdoor還使用了此前出現在TrickBot活動中的相同加密器、電子郵件鏈接和證書創建方式。

BleepingComputer表示，在通過BazarBackdoor獲取到受害者計算機的完全訪問權限后，攻擊者可以執行任何攻擊，如竊取數據、部署勒索軟件，或者是將訪問權出售給其他黑客。

鑒于釣魚郵件的數量，BleepingComputer認為BazarBackdoor已對企業網絡構成了嚴重威脅，并建議企業應該告知員工警惕來自ndgrid.net的電子郵件，尤其是包含文件下載鏈接的郵件。