主要观点总结
本文介绍了SSLoad恶意软件的分析情况,包括其通过各种方式收集数据、逃避检测的行为,以及攻击者如何使用Rust开发多个恶意软件并使用复杂的加密措施和反调试措施等。
关键观点总结
关键观点1: SSLoad的主要攻击方式
通过钓鱼邮件和诱饵文档传递恶意DLL文件,使用Cobalt Strike等载荷进行攻击。
关键观点2: SSLoad的数据收集方式
通过加密逻辑收集各种信息,再回传给攻击者。
关键观点3: SSLoad的交付方式
采用多样化的交付方式,如使用Phantom Loader等加载程序来加载Payload。
关键观点4: SSLoad的加密与反调试技术
使用RC4算法对数据进行加密,使用反调试技术逃避分析。
关键观点5: SSLoad与C&C服务器的通信
通过HTTP POST请求回传信息给C&C服务器,接收任务并下载后续Payload。
文章预览
SSLoad 是一种隐秘的恶意软件,主要通过钓鱼邮件打开突破口,收集各种信息再回传给攻击者。近期,研究人员发现 SSLoad 通过诱饵 Word 文档投递恶意 DLL 文件,最终部署 Cobalt Strike。另一种攻击方式是利用钓鱼邮件诱导受害者到 Azure 页面,通过 JavaScript 脚本下载 MSI 安装程序再加载 SSLoad 其他载荷。 SSLoad 是新型恶意软件,研究人员发现了许多变种。在恶意软件即服务(MaaS)领域,该恶意软件通过多样化的交付方式彰显自身的技术水平。 MSI 安装程序 由此安装程序开启多个 Loader 组成的攻击链,最终部署攻击者期望的 Payload。 攻击链 通过分析工具,可以发现安装程序要执行哪些操作: ❯ msiinfo export 90f1511223698f33a086337a6875db3b5d6fbcce06f3195cdd6a8efa90091750.sample CustomAction [...] SET_APPDIR 307 APPDIR [AppDataFolder][Manufacturer]\[ProductName] LaunchFile 1026 viewer.exe C:\Windows\Syste
………………………………
