Sliver 植入程式揭秘:最新網路攻擊技術

網路安全公司 Cyble 發布了一份報告,詳細介紹了針對德國機構為目標的複雜網路攻擊。 此次攻擊利用 DLL sideloading和代理(proxying)技術來部署 紅隊框架(Red teaming framework) Sliver 植入程式。這次攻擊涉及檔案中的假的 LNK 檔案 (deceptive LNK file),最終執行惡意程式碼並與遠端伺服器建立通訊。 Cyble 的分析強調了攻擊者 先進的逃避技術和 APT 操作日益複雜的特點。

Sliver 植入程式揭秘 | 應用程式安全測試 | AST | 資訊安全

技術細節

參考文章的「技術細節」部分概述了針對德國機構的網路攻擊的具體步驟和組成部分。以下是詳細描述:
  • 初始感染:當使用者解開壓縮檔案時攻擊開始,可能透過魚叉式網路釣魚電子郵件發送。壓縮檔包含多個檔案,包括偽裝成 PDF 的捷徑(.LNK)檔案、合法執行檔、惡意 DLL、加密資料檔案(.dat)和誘餌 PDF 檔案。捷徑檔案名稱為Homeoffice-Vereinbarung-2025.pdf.lnk。
  • LNK 檔案執行:當使用者開啟 LNK 檔案時,它會透過 cmd.exe 執行一系列命令。這包括將合法的 Windows 檔案 wksprt.exe 從 C:\Windows\System32 複製到新建立的目錄 %localappdata%\InteI。隱藏檔案IPHLPAPI.dll(惡意DLL)、IPHLPLAPI.dll(重新命名的合法DLL)和ccache.dat(加密的shellcode)也被複製到該目錄中。
  • 持久性(Persistence):為了建立持久性,將名為 wksprt.lnk 的捷徑複製到啟動資料夾 (%appdata%\Microsoft\Windows\Start Menu\Programs\Startup)。這確保 wksprt.exe 在系統啟動時自動執行。
  • 誘餌文件:開啟誘餌 PDF 檔案 00_Homeoffice-Vereinbarung-2025.pdf 來欺騙用戶,同時惡意操作在後台發生。本文件是德文版的內政部協議(Home Office Agreement)。
  • DLL Sideloading和代理:合法的執行檔 wksprt.exe 隨後從相同目錄中載入惡意的動態連結庫 IPHLPAPI.dll。這個惡意 DLL 反過來載入重命名的合法 DLL IPHLPLAPI.dll,並充當代理。它攔截函數呼叫並將其轉發給合法的 DLL,從而確保在執行惡意程式碼時應用程式行為正常。
  • 加密的 Shellcode 執行:惡意 DLL 產生一個新執行緒來從 ccache.dat 讀取加密內容。它使用加解密 API(cryptographic API) 解密資料,將其複製到新分配的記憶體空間並執行。
  • 最後的Payload:解密的內容是一個 shellcode,它執行另一個解密循環來取得和執行最終Payload,即 Sliver 植入程式。該植入程式與遠端伺服器建立連接,使威脅行為者能夠對受感染的系統執行進一步的惡意操作。
  • 規避(Evasion):整個過程的目的為逃避安全產品的偵測,因為它發生在記憶體中並使用合法的可執行檔和誘餌檔案。

文章中的「技術細節」部分還包括說明感染鏈的圖表、LNK檔案的內容、LNK檔案的命令列參數、誘餌文檔、惡意DLL的低偵測率、兩個DLL的匯出函數、DLL代理程式、從.dat檔案讀取加密內容、解密的內容以及最終的有效載荷。這些圖表為所描述的技術步驟提供了視覺背景。