详细内容或原文请订阅后点击阅览
真正的软件下载如何隐藏远程后门
攻击者以合法的开源软件为掩护,依靠用户的信任来破坏系统。我们深入研究一个例子。
来源:Malwarebytes Labs 博客它从简单的搜索开始。
您需要设置对同事计算机的远程访问。您在 Google 上搜索“RustDesk 下载”,单击顶部结果之一,然后进入一个精美的网站,其中包含文档、下载和熟悉的品牌。
您安装软件并启动它,一切都按预期运行。
您看不到的是与它一起安装的第二个程序,该程序悄悄地为攻击者提供了对您计算机的持久访问权限。
这正是我们在使用假域名 rustdesk[.]work 的活动中观察到的情况。
诱饵:近乎完美的模仿
我们在 rustdesk[.]work 上发现了一个恶意网站,该网站冒充合法的 RustDesk 项目,该项目托管在 rustdesk.com 上。该假网站与真实网站非常相似,包含多语言内容和显着的警告,声称(讽刺的是)rustdesk[.]work 是唯一的官方域名。
此活动不利用软件漏洞或依赖高级黑客技术。它的成功完全是通过欺骗。当网站看起来合法并且软件运行正常时,大多数用户永远不会怀疑有什么问题。
运行安装程序时会发生什么
安装程序执行故意的诱饵和切换:
用户看到 RustDesk 正常启动。一切似乎都有效。与此同时,后门悄悄地与攻击者的服务器建立连接。
通过将恶意软件与工作软件捆绑在一起,攻击者消除了最明显的危险信号:功能损坏或缺失。从用户的角度来看,没有什么感觉不对劲。
感染链内部
恶意软件通过分阶段执行,每个步骤都旨在逃避检测并建立持久性:
第 1 阶段:木马安装程序
下载的文件 (rustdesk-1.4.4-x86_64.exe) 既充当植入程序又充当诱饵。它将两个文件写入磁盘:
第 2 阶段:加载器执行