1??????? 概覽

近期，安天CERT監(jiān)測到通過鏡像下載站傳播的攻擊活動。攻擊者將Torrent資源投放至Windows操作系統(tǒng)鏡像下載站中，誘導用戶安裝使用看似純凈的系統(tǒng)。實際上，攻擊者事先將惡意文件隱藏于指定路徑中，通過計劃任務實現(xiàn)自啟動，并利用EFI系統(tǒng)分區(qū)規(guī)避安全產品的檢測，最終執(zhí)行剪貼板劫持器以盜取加密貨幣。

EFI系統(tǒng)分區(qū)中包含操作系統(tǒng)的引導加載程序及相關文件，該分區(qū)在Windows系統(tǒng)中一般是不可見的，且安全產品通常不會對EFI分區(qū)中的文件進行掃描。在此次攻擊活動中，攻擊者利用惡意軟件掛載EFI系統(tǒng)分區(qū)并將其余惡意文件復制到該分區(qū)中，以此規(guī)避安全產品的檢測。

攻擊者可以隱蔽地將惡意軟件植入系統(tǒng)中，將其封裝成鏡像文件投放至各種下載站中。用戶應提高安全意識，避免從非官方途徑獲取系統(tǒng)鏡像資源，看似安全的免費資源中可能存在安全隱患。?

(資料圖)

表 1?1 攻擊活動概覽

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對惡意軟件的有效查殺。

2??????? 技術梳理

攻擊者將Torrent資源投放至系統(tǒng)鏡像下載站中，誘導用戶下載、使用被惡意篡改的系統(tǒng)鏡像。此類網(wǎng)站提供大量Windows操作系統(tǒng)的免費鏡像資源，其中很有可能混入被惡意篡改的鏡像。

攻擊者事先將惡意程序放至%SystemRoot%\Installer中，并創(chuàng)建相應的計劃任務。當用戶使用被惡意篡改的鏡像安裝Windows操作系統(tǒng)后，通過計劃任務進行自啟動，掛載EFI系統(tǒng)分區(qū)并將其余惡意文件復制到該分區(qū)中，以此規(guī)避安全產品的檢測。該惡意程序最終注入惡意DLL，持續(xù)監(jiān)控剪貼板中的內容，當匹配到加密貨幣錢包地址時將其替換為攻擊者的錢包地址，從而將收益轉移至攻擊者賬戶中。

3??????? 樣本分析

???????

該惡意程序偽裝成操作系統(tǒng)中的合法程序，其數(shù)字簽名無效。

該程序運行后在M盤中掛載EFI系統(tǒng)分區(qū)。

隨后將其余兩個文件復制到新掛載的分區(qū)中、刪除原路徑中的文件，執(zhí)行新路徑中的，并最終卸載EFI分區(qū)。

表 3?1復制載荷文件

???????

運行后，創(chuàng)建執(zhí)行%SystemRoot%\System32\進程，使用遠程線程注入技術，在該進程中創(chuàng)建線程加載kd_08_。

??????? kd_08_

該DLL執(zhí)行后，掃描當前系統(tǒng)中運行的進程是否存在某些安全工具。

若當前系統(tǒng)中未運行以上進程，獲取剪貼板中的內容，根據(jù)加密貨幣錢包地址的格式檢測該內容的開頭字符及長度，若匹配則將剪貼板中的加密貨幣錢包地址替換為攻擊者的錢包地址，從而轉移加密貨幣。

該剪貼板劫持器替換用戶錢包和攻擊者錢包的對應關系如下表所示。

表 3?2替換用戶錢包和攻擊者錢包的對應關系

4??????? 防護建議

為有效防御此類攻擊事件，提升安全防護水平，安天建議政企機構采取如下防護措施：

??????? 網(wǎng)站傳播防護

1.建議使用官方網(wǎng)站下載的正版軟件。如無官方網(wǎng)站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描；

2.建議使用沙箱環(huán)境執(zhí)行可疑的文件，在確保安全的情況下再使用主機執(zhí)行。安天追影威脅分析系統(tǒng)（PTA）采用深度靜態(tài)分析與沙箱動態(tài)加載執(zhí)行的組合機理，可有效檢出分析鑒定各類已知與未知威脅。

??????? 終端防護

1.安裝終端防護系統(tǒng)：安裝反病毒軟件，建議安裝安天智甲終端防御系統(tǒng)；

2.加強口令強度：避免使用弱口令，建議使用16位或更長的口令，包括大小寫字母、數(shù)字和符號在內的組合，同時避免多個賬號使用相同口令。

??????? 遭受攻擊及時發(fā)起應急響應

聯(lián)系應急響應團隊：若遭受惡意軟件攻擊，建議及時隔離被攻擊主機，并保護現(xiàn)場等待安全工程師對計算機進行排查；安天7*24小時服務熱線：400-840-9234。

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對惡意軟件的有效查殺。

圖 4?1安天智甲實現(xiàn)對用戶系統(tǒng)的有效防護

5??????? 事件對應的ATT&CK映射圖譜

針對攻擊者投遞剪貼板劫持器的完整過程，安天梳理本次攻擊事件對應的ATT&CK映射圖譜如下圖所示：

攻擊者使用的技術點如下表所示：

表 5?1事件對應的ATT&CK技術行為描述表

6??????? IoCs?

關鍵詞：