“路由器產(chǎn)品介紹”實(shí)為釣魚文檔，安全公司曝光惡意木馬 SquidLoader

IT之家 6 月 25 日消息，美運(yùn)營(yíng)商 AT&T 旗下的安全公司 LevelBlue 近日發(fā)布報(bào)告，曝光一款名為 SquidLoader 的木馬，這款木馬主要波及簡(jiǎn)體中文用戶，黑客將相關(guān)木馬打包成各種“產(chǎn)品介紹”文檔，對(duì)不知情的受害者進(jìn)行攻擊。

IT之家從報(bào)告中獲悉，黑客設(shè)置一系列名為“華為工業(yè)級(jí)路由器的產(chǎn)品介紹及客戶成功案例”、“黃河水利職業(yè)技術(shù)學(xué)院簡(jiǎn)章”等釣魚文檔，但實(shí)際上這些文檔都是隱藏的可執(zhí)行文件，據(jù)稱如此命名主要是“吸引不知情的受害者上當(dāng)”，一旦受害者打開“文檔”，這些隱藏的可執(zhí)行文件便會(huì)自動(dòng)向黑客設(shè)置的遠(yuǎn)程服務(wù)器上的 URL 發(fā)出 Get HTTPS 請(qǐng)求，然后自動(dòng)部署 SquidLoader 木馬。

值得注意的是，這款木馬據(jù)稱具備高度反檢測(cè)能力，為了讓其看起來像正常的系統(tǒng)進(jìn)程，黑客利用已經(jīng)過期的合法證書蒙騙系統(tǒng)，同時(shí)文件中還混淆了大量來自微信、mingw-gcc 等應(yīng)用的代碼（實(shí)際無法正常執(zhí)行）以防止安全公司檢測(cè)，同時(shí)木馬內(nèi)置的部分功能函數(shù)含有 call 或 jmp 指令以指向另一個(gè)功能函數(shù)，從而導(dǎo)致安全公司的反編譯工具出現(xiàn)解析錯(cuò)誤。

此外，黑客也在代碼中利用各種無意義的誘餌指令來欺騙研究人員，并通過堆棧的方式使用 XOR 密鑰來加密特定字符串。此外，這些黑客也針對(duì) Shell Code 相關(guān)的功能函數(shù)進(jìn)行控制流圖（Control Flow Graph，CFG）混淆處理，導(dǎo)致 CFG 被扁平化為帶有大量 switch 字符串的無限循環(huán)，進(jìn)一步防止安全公司檢測(cè)。

據(jù)此，安全公司警告用戶應(yīng)當(dāng)謹(jǐn)慎下載任何文檔文件，以防止設(shè)備中關(guān)鍵內(nèi)容外泄，安全公司同時(shí)警告，由于此類攻擊技術(shù) / 手法易于復(fù)制，未來很有可能被其他黑客開發(fā)者效仿。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。