MirrorFace APT 组织利用自定义恶意软件攻击 Windows Sandbox 和 Visual Studio Code
- 浏览次数 524
- 喜欢 0
HackerNews 编译,转载请注明出处:
日本国家警察厅(NPA)和国家网络安全战略中心(NISC)发布安全通告,警告针对日本组织的高级持续性威胁(APT)攻击活动。
此次攻击由“MirrorFace”组织实施,该组织是 APT10 旗下的一个分支。他们利用 Windows Sandbox 和 Visual Studio Code 执行恶意操作,同时规避宿主系统上的安全检测。
攻击者使用了经过修改的开源远程访问木马(RAT)Lilith RAT,命名为 “LilimRAT”,该恶意软件专门针对 Windows Sandbox 运行环境进行优化。
Windows Sandbox 作为独立的虚拟环境,与宿主系统隔离。MirrorFace 组织正是利用这一特性,在受感染系统上保持持久性,同时减少攻击痕迹,降低被发现的可能性。
据 ITOCHU Cyber & Intelligence 研究人员分析,该恶意软件包含专门的代码,用于检测其是否运行在 Windows Sandbox 中。它会检查 WDAGUtilityAccount 用户文件夹的存在,这是 Windows Sandbox 默认的用户配置。
如果 WDAGUtilityAccount 文件夹未被检测到,恶意软件会立即终止运行。代码示例如下:
FileAttributesA = GetFileAttributesA("C:\\Users\\WDAGUtilityAccount");
if (FileAttributesA != -1 && (FileAttributesA & 0x10) != 0)
{
c_GetModuleFileNameA();
c_WSAStartup();
v29 = 1;
// 其他初始化代码
}
攻击者首先在目标系统上启用 Windows Sandbox(默认情况下该功能是禁用的),并创建自定义的 Windows Sandbox 配置文件(WSB)。然后,在这个隔离环境中执行恶意软件,以避免安全工具的检测。
完整的攻击流程包括:
- 在受感染主机上放置三个关键文件:
- 批处理脚本(.bat)
- 压缩工具
- 包含恶意软件的存档文件
- 创建 Windows Sandbox 配置文件(WSB),其中包含:
- 启用网络连接
- 在宿主系统和沙箱之间共享文件夹
- 设定在 Windows Sandbox 启动时自动执行命令
WSB 配置示例如下:
<Configuration>
<Networking>Enable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\{Host-side folder}</HostFolder>
<SandboxFolder>C:\{Sandbox-side folder}</SandboxFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\{Sandbox-side folder}\{random}.bat</Command>
</LogonCommand>
<MemoryInMB>1024</MemoryInMB>
</Configuration>
通过此配置,恶意软件可在 Windows Sandbox 内部运行,同时仍可访问宿主系统的文件。
消息来源:Cybersecurity News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文