安全研究人员发现了臭名昭著的Hworm(又名njRAT)的新版本,这种远程访问工具(RAT)以主要攻击中东地区组织而广为人知。以色列的安全公司Morphisec的研究人员称,njRAT采用了一种新的混淆技术来规避受害者计算机上安装的安全软件的检测。
Hworm / njRAT于2013年首次出现,当时攻击的是国际能源行业且主要针对中东地区。Hworm / njRAT很快被商品化,是变化最快的远程访问工具之一,其变体不断被推出。研究人员目前发现的攻击是网络钓鱼活动的一部分——如果成功,Hworm会让攻击者完全控制受害者的系统。中国菜刀
技术说明
这个新版本的Hworm使用了利用DynamicWrapperX的无文件VBScript注入器,这种注入器已被远程访问工具广泛运用,如DarkComet和KilerRAT都曾使用过该注入器。Hworm还采用了一种新的混淆技术来规避检测。
Hworm的攻击行动分两个阶段进行,第一阶段是在受害者系统商安装混淆或编码的VBS文件。payload是一个VBS文件,在某些情况下,它会被混淆或编码。
该文件有三个base64流,分别为DCOM_DATA、LOADER_DATA和FILE_DATA。DCOM_DATA中包含DynamicWrapperX,DynamicWrapperX下载的脚本检查受感染的系统是否为64位,然后决定正确的攻击脚本和继续安装Hworm。LOADER_DATA中包含RunPE shellcode,而FILE_DATA中包含注入主机进程的shell代码。天空彩
第二阶段主要是执行Hworm,以接管受感染计算机。利用LOADER_DATA (RunPE)将FILE_DATA注入到msbuild.exe,FILE_DATA是base64编码的——对其进行解码并不会得到任何信息,因为还有一层编码。
利用LOADER_DATA对其进行解码后可以发现,FILE_DATA是一个可移植的可执行文件,用Dot Net编写,查看反编译的源代码可以看到Hworm (njRAT)配置。
网络钓鱼可利用
研究人员表示威胁演员可能会使用Hworm的变体进行大规模的网络钓鱼攻击,因为一旦成功,攻击者就可以完全控制受害者的系统。
过去,利用Hworm的网络攻击主要针对中东地区的能源行业,但是此版本很可能会被用于攻击其它国家/地区。