详细内容或原文请订阅后点击阅览
不要相信文件名:Unicode 特殊字符如何欺骗经验丰富的专家
恶意操作CLOUD#REVERSER利用合法的云服务来绕过检测。
来源:安全实验室新闻频道不要相信文件名:Unicode 特殊字符如何欺骗经验丰富的专家
恶意操作CLOUD#REVERSER利用合法的云服务来绕过检测。
Securonix 研究人员发现了一种名为 CLOUD#REVERSER 的新网络攻击活动。在此操作过程中,攻击者使用 Google Drive 和 Dropbox 等合法云服务来托管恶意文件。
Securonix“CLOUD#REVERSER 中的 VBScript 和 PowerShell 脚本使用 Google Drive 和 Dropbox 作为管理文件上传和下载的平台来执行 C2 操作,”研究人员 Den Juzvik、Tim Peck 和 Oleg Kolesnikov 在他们的报告中说道。
VBScript PowerShell C2 在您的报告中。攻击从一封网络钓鱼电子邮件开始,其中包含 ZIP 存档和伪装成 Microsoft Excel 的可执行文件。该文件不仅使用 Excel 徽标图标,而且文件名还使用隐藏的 Unicode 字符 (U+202E),该字符反转了该行中以下字符的顺序,欺骗用户以为他们正在打开 Excel 文件。
因此,作为活动一部分检查的可执行文件“RFQ-101432620247fl[U+202E]xslx.exe”以“RFQ-101432620247flexe.xlsx”的幌子显示在受害者的系统上。
U+202E exe.xlsx在攻击中,可执行文件运行八个恶意有效负载,包括一个伪造的 Excel 文件和一个严重混淆的 Visual Basic 脚本,该脚本打开一个 Excel 文件并运行其他两个脚本。
这两个脚本都使用 Windows Scheduler 中的任务在受害者的计算机上创建持久存在,伪装成 Google Chrome 浏览器的更新。这些任务每 60 秒运行一次独特的 VB 脚本。
每个脚本都运行两个 PowerShell 脚本,这些脚本连接到攻击者控制的 Dropbox 和 Google Drive 帐户以下载其他脚本。