聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

今年早些时候，曾有媒体报道称黑客将恶意软件隐藏在虚假的 Windows 错误日志中。获得对Windows 系统的访问权限并获得持久性后，该恶意软件将从模拟事件日志的“.chk”文件中读取数据。

如下图右边的十六进制字符织机上是十进制字符，用于通过恶意的设定任务构建一个编码的 payload。目前出现了关于该复杂恶意软件的更多信息以及它所执行的其它恶意任务。

谷歌的 DoH

威胁检测提供商 Huntress 实验室的安全研究员在重新访问该恶意软件时，从之前分析的 PowerShell 代码中注意到一个可疑的 URL：

https://dns.google.com/resolve?name=dmarc.jqueryupdatejs.com&type=txt。

可疑域名“jqueryupdatejs.com”立即吸引了实验室资深安全研究员 John Hammond 的注意力。

虽然谷歌 DNS 用于解析这个可疑的域名，但通过谷歌 DNS 返回的响应中包含一个编码形式的恶意 payload，BleepingComputer 已证实这一点。

Hammond 还指出，“通过 HTTPS 请求 DNS 记录的技术并不新鲜，但十分狡猾。通常是在企业网络上进行 DNS 过滤，拦截对恶意网站的访问权限，但通过一个安全的 HTTPS 连接拦截https://google.com的web 流量的做法前所未闻。”Hammond 表示，虽然 DNS over HTTPS(DoH) 变得越来越流行，但并非恶意软件独有，而且也存在合法的用例，“随着安全和隐私的话题不断升温，DoH 变得越来越普遍。这种技术并不仅见于恶意软件，在现实生活中也有正常的用例。在其它通信和提取技术上存在很多防御性保护措施的情况下竟然也发生这种情况，由此可见 DoH 对于攻击者而言是更为可行的选择。”

他指出，“使用外部服务器甚至是动态 DNS 条目通过允许他们在攻击中完全定制化和控制的方式让黑客受益。如果他们需要交换恶意软件或调整用于诊断的服务器，则可无需访问受害者的情况下实现这个目标。”

并非 DKIM 签名，而是 C&C IP

在一般人眼中，由谷歌 DNS 查询返回的“data”字段值看起来可能像一个 DKIM 签名，但这是攻击者使用的另外一个障眼法。这个值看似是一个 base64 编码字符串但实际上它是一个幌子。一开始就使用 base64解码器解码整个字符串会产生无用数据。这是因为“/”字符当做分隔符（很像空格）使用，而并非 payload 的一部分。当解码由“/”分隔的每个值时，Hammond 还得到了不同的 base64值。再次解码会得到更大的数字：

• 1484238688

• 1484238687

• 238837

• 2388371974

• 2388372143

它们只是有效 IP 地址的十进制表示。例如，在 web 浏览器地址栏中输入1484238687/会解析到 http://88.119.175.95/（不建议您尝试）。

原始的 payload 会随机挑选其中的一个 IP 地址，下载下一阶段的 payload。这个看似无害的 DNS lookup 查询能使攻击者灵活地让 C&C 基础设施更加动态化。他们可以随意更改 C&C 服务器IP列表，只需更新 DNS 响应即可。

Huntress 实验室发布博客文章指出，“记住，攻击者对最后的这些 payload 具有灵活的控制能力，jqueryupdatejs.com域名和TXT条目是外部的，而且可被轻易更新或修改，第三方恶意软件服务器可以进出该循环，而可以被检索的最终 payload 可以随时进行定制化。”

狡猾、躲避检测

除了用于“隐藏于视线之外”的所有混淆技术外，该恶意软件还将某些可执行文件的名称更名为合法的、活跃的 Windows 进程，以便进一步躲避检测。

Hammond 表示，“该恶意软件中出现的混淆体量值得进行，但从攻击的角度来看，这样做简直是天才。使用这些原生二进制确保程序允许执行，而将payload 隐藏在层层复杂性之下有助于它逃避检测。这些技术使得“老旧恶意软件”与众不同。即使是现成的反病毒产品也可能受骗。”

随着这类技术变得越来越普遍，Hammond 建议必须进行手动教哈，而不是仅依赖自动化安全控制。

他指出，“我们是从手动分析过程中发现该恶意软件的。显然，拥有自动化、一直运转的反病毒和端点保护套件会带来巨大的好处，但它缺少人类所拥有的上下文。必须启动手动调查。”

详细报告请见：https://huntresslabs.com/。

推荐阅读

Google Drive 被曝0day，可诱骗用户安装恶意软件

DNS 之父为何金刚怒目 DoH 而力挺 DoT？

原文链接

https://www.bleepingcomputer.com/news/security/google-now-pays-for-bugs-used-to-bypass-its-anti-fraud-systems/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 吧~