攻击者模仿VMware域以投递Bifrost远控木马新变体

2024年 3月 1日 27.1k 0

介绍

攻击者通常通过电子邮件附件或恶意网站分发 Bifrost。一旦安装在受害者的计算机上,Bifrost 就允许攻击者收集敏感信息,例如受害者的主机名和 IP 地址。

最新版本的 Bifrost 会访问具有欺骗性名称download.vmfare[.]com 的命令和控制 (C2) 域,该域看起来与合法的 VMware 域类似。这种做法被称为“误植”。通过利用这个欺骗性域,Bifrost 背后的威胁行为者旨在绕过安全措施、逃避检测,并最终危害目标系统。

截至 2 月底, VirusTotal尚未检测到该欺骗性域名,如下图 1 所示。

攻击者模仿VMware域以投递Bifrost远控木马新变体-1

图 1. download.vmfare[.]com的 VirusTotal 分数

恶意软件概述:Bifrost

我们找到了托管在45.91.82[.]127的服务器上的最新 Bifrost 样本(SHA256 哈希:8e85cb6f2215999dc6823ea3982ff4376c2cbea53286e95ed00250a4a2fe4729 ) 。

示例二进制文件是针对 x86 编译的,并且似乎被剥离了。剥离的二进制文件是一种已删除调试信息和符号表的二进制文件。攻击者通常使用此技术来阻碍分析。

图 2 显示了在 Linux 环境中从终端窗口使用file命令的示例文件类型。

攻击者模仿VMware域以投递Bifrost远控木马新变体-2

图 2. 剥离的二进制文件

为了更好地了解 Bifrost 最新版本的功能,我们在反汇编程序中查看了最新的示例。恶意软件首先通过setSocket函数创建一个套接字来建立通信,然后收集用户数据并将其发送到攻击者的服务器。说明这一点的反汇编代码如下图 3 所示。

攻击者模仿VMware域以投递Bifrost远控木马新变体-3

图 3. 反汇编程序中看到的恶意软件的代码流

下面的图 4 显示了setSocket函数的代码片段,其中代码将三个值压入堆栈,然后调用sys_socket(0x8063A80):

Push 2:对应于套接字域,即 AF_INET(IPv4 Internet 协议)。

Push 1:对应套接字类型,即 SOCK_STREAM (TCP)。

push 6:这个对应于socket协议,即IPPROTO_TCP(TCP)。

攻击者模仿VMware域以投递Bifrost远控木马新变体-4

图 4. Bifrost 示例中用于创建套接字的代码的反汇编程序视图

创建套接字后,恶意软件会收集用户数据(如图 5 所示),并将其发送到攻击者的服务器。

攻击者模仿VMware域以投递Bifrost远控木马新变体-1

图 5. 反汇编代码显示 Bifrost 如何收集受害者数据

最近的示例使用 RC4 加密来加密收集的受害者数据,如图 6 所示。与之前的 Bifrost 示例相比,我们发现了一些细微的变化,例如加密过程中的按位 AND 操作,具体取决于所研究的特定实例。

攻击者模仿VMware域以投递Bifrost远控木马新变体-6

图 6.来自最新 Bifrost 示例的反汇编代码,表明可能修改了 RC4 加密

随后,恶意软件尝试与 IP 地址为168.95.1[.]1 的台湾公共 DNS 解析器联系,如图 7 所示。

攻击者模仿VMware域以投递Bifrost远控木马新变体-7

图 7. 调试器输出和反汇编代码显示恶意软件正在联系位于168.95.1[.]1的公共 DNS 解析器

如图 8 中的日志所示,恶意软件启动 DNS 查询,通过使用168.95[.]1.1处的公共 DNS 解析器来解析域download.vmfare[.]com。此步骤对于确保恶意软件能够成功连接到其预期目的地至关重要

攻击者模仿VMware域以投递Bifrost远控木马新变体-8

图 8. 恶意软件发起 DNS 查询以解析域download.vmfare[.]com

该恶意软件经常采用C2等欺骗性域名而不是IP地址来逃避检测,使研究人员更难追踪恶意活动的来源。

扩大攻击面

经检查,我们发现45.91.82[.]127的恶意 IP 地址也托管着 ARM 版本的 Bifrost。该版本的存在表明攻击者正在试图扩大其攻击面。

ARM 版本的功能与我们在本文中分析的 x86 版本相同。通过提供恶意软件的 ARM 版本,攻击者可以扩大其掌握范围,从而损害可能与基于 x86 的恶意软件不兼容的设备。随着基于 ARM 的设备变得越来越普遍,网络犯罪分子可能会改变策略以包含基于 ARM 的恶意软件,从而使他们的攻击更加强大并能够到达更多目标。

捕捉碧霜

Palo Alto Networks Advanced WildFire检测到 Bifrost 活动最近出现激增。在过去几个月中,WildFire 检测到了 100 多个 Bifrost 样本实例(哈希),如下图 9 所示。

攻击者模仿VMware域以投递Bifrost远控木马新变体-9

图 9. Bifrost 样本检测的高级野火报告(从 10 月到 2024 年 1 月)

结论

Bifrost RAT 对于个人和组织来说仍然是一个重大且不断变化的威胁。由于新变种采用了域名仿冒等欺骗性域名策略,最近 Bifrost 活动的激增凸显了该恶意软件的危险本质。

跟踪和对抗 Bifrost 等恶意软件对于保护敏感数据和保持计算机系统的完整性至关重要。这也有助于最大限度地减少未经授权的访问和后续损害的可能性。

通过我们的下一代防火墙和云交付的安全服务(包括高级 WildFire和高级 URL 过滤) , Palo Alto Networks 客户可以更好地免受本文讨论的威胁。Cortex XDR可以帮助检测和防止 Bifrost 及相关恶意行为。

如果您认为自己可能已受到威胁或有紧急事项,请联系Unit 42 事件响应团队或致电:

北美免费电话:866.486.4842 (866.4.UNIT42)

欧洲、中东和非洲:+31.20.299.3130

亚太地区:+65.6983.8730

日本:+81.50.1790.0200

Palo Alto Networks 已与网络威胁联盟 (CTA) 成员分享了我们的发现。CTA 成员利用这些情报快速为其客户部署保护措施,并系统地破坏恶意网络行为者。了解有关网络威胁联盟的更多信息。

致谢

我们要感谢 Bradley Duncan 提供的宝贵意见和建议,帮助完成了本文。

妥协指标

恶意软件样本

攻击者模仿VMware域以投递Bifrost远控木马新变体-10

域名和IP地址

download.vmfare[.]com
45.91.82[.]127

参考链接: https://unit42.paloaltonetworks.com/new-linux-variant-bifrost-malware/

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论