开放目录暴露致 BYOB 框架泄露，可攻击 Windows、Linux 及 macOS 多平台

HackerNews 编译，转载请注明出处：

威胁研究人员在发现一个配置错误的开放目录后，进而查获一台正处于运行状态的命令与控制服务器，该服务器完整部署了 BYOB 框架。

该服务器 IP 地址为 38 [.] 255 [.] 43 [.] 60，监听 8081 端口，经核查正分发恶意载荷，可在 Windows、Linux 及 macOS 系统上建立持久化远程访问。

该基础设施由美国 Hyonix 公司托管，内含完整的投放器、加载器及后渗透模块套件，可支持攻击者持续控制受感染设备。该框架通过一个精心设计的多阶段感染链运作，能巧妙规避安全检测，同时提供危险的监视与控制功能。

暴露的开放目录泄露了 BYOB 后渗透工具包的完整架构，该工具包采用三阶段感染流程。

第一阶段以 359 字节的小型投放器启动，该投放器通过 Base64 编码、Zlib 压缩及 Marshal 反序列化实现多层混淆，以此规避特征码检测系统。

该投放器会获取第二阶段组件 ——2KB 大小的加载器，该加载器会扫描环境变量中的 VirtualBox 特征、核查运行进程中是否存在 VMware、Hyper-V、XenServer 等虚拟化软件，以此完成反虚拟机检测。

环境验证安全后，加载器会获取最终恶意载荷 ——123KB 的远程访问木马，该木马可与命令控制服务器建立加密 HTTP 通信，并按需加载额外监控模块。

Hunt.io 分析师在通过自研 AttackCapture 工具开展主动威胁狩猎时，发现了该暴露的恶意基础设施。其系统监测到这台运行中的命令与控制服务器存在典型开放目录特征，进而锁定该恶意基础设施。

对捕获样本的分析表明，该框架至少自2024年3月便开始运作，意味着这场持续活动已进行了约十个月。该基础设施存在刻意的地理分布设计，节点覆盖新加坡、巴拿马及美国多个地区，可见背后威胁行为者具备完善的攻击规划及资源调配能力。

BYOB框架展现出令人担忧的跨平台能力，在多类型计算环境中均能造成严重威胁。该框架针对不同操作系统定制了 7 种独立持久化机制，可确保恶意程序在设备重启及清理操作后仍能留存。

在 Windows 系统中，其会创建伪装为 “Java-Update-Manager” 的注册表运行项、在启动文件夹中放置 URL 快捷方式文件、创建每小时执行一次的计划任务，还会部署 Windows 管理规范订阅以实现事件触发式执行。

针对 Linux 系统，通过恶意 crontab 条目实现持久化；针对 macOS 设备，则通过 LaunchAgent 属性列表文件实现用户登录时自动执行。

这些冗余的持久化手段使得清除工作异常困难，大大增加了会有至少一种机制逃过检测的可能性。

后渗透监控功能
除建立访问权限外，BYOB 恶意载荷还可通过模块化组件实现全面监控功能，攻击者可根据目标按需加载对应组件。

键盘记录模块针对不同平台定制钩子功能：Windows 系统使用 pyHook，类 Unix 系统使用 pyxhook，可捕获每一次按键及当前活动窗口名称，以此明确密码、信用卡号等敏感信息输入时对应的应用场景。

数据包嗅探模块通过原始套接字在 IP 层拦截网络流量，解析报文头提取源地址、目的地址、协议信息及载荷数据，可获取明文传输的凭证及内部网络通信内容。

Outlook电子邮件收集模块是最危险的组件之一。它利用Windows COM自动化接口，无需认证即可编程访问已登录的Microsoft Outlook。该模块可连接已完成身份验证的 Outlook 会话，搜索收件箱内容、提取含特定关键词的邮件、统计邮件总数，再执行全量提取操作。这种能力对依赖电子邮件处理关键业务通信、财务信息和内部文档的企业环境构成严重威胁。

此外，该框架还包含进程操纵功能，允许攻击者终止安全软件、枚举运行中的程序，并自动阻止任务管理器等防护工具启动。

对该基础设施的分析，还揭露了攻击活动规模及牟利模式的更多高危细节。

已发现的 5 个命令与控制节点中，有 2 个同时部署了 BYOB 框架与 XMRig 加密货币挖矿软件，可见该基础设施具备双重用途，既能通过挖矿实现被动牟利，又能维持远程访问能力。远程访问工具包部署与加密货币挖矿相结合的模式，表明背后是利益驱动型威胁行为者，旨在从受感染设备中获取多重收益。

主服务器自 2023 年 12 月起便暴露远程桌面协议端口，且存在多台 Web 服务器同时运行于不同端口的异常配置，种种迹象均表明这是专用攻击基础设施，而非合法商业用途。

消息来源: cybersecuritynews：

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文