危險!Telegram成為駭客指揮中心
如何防範新型後門攻擊?
Netskope Threat Labs 的這篇部落格文章討論了新發現的 Golang 後門,該後門利用 Telegram 作為其命令和控制 (C2) 通道。它凸顯了攻擊者使用雲端應用程式進行 C2 通訊的成長趨勢,因為很難區分惡意 C2 活動和合法用戶活動。該貼文詳細介紹了該惡意軟體的功能,包括透過 PowerShell 執行命令、在系統中駐留和自毀的能力,以及某些功能仍在開發中。最終,該分析旨在讓防禦者了解這種新出現的威脅,並強調偵測此類攻擊的挑戰。以下是為大家做詳細整理:
發現
Netskope 威脅實驗室透過狩獵活動發現了新的 Go 後門,並與其他研究人員分享了 IoC。
功能
此惡意軟體使用 Telegram 作為其 C2 機制,這對攻擊者來說是一種有效的方法,因為它不需要整個基礎設施,並且從防御者的角度來看很難區分正常用戶 API 使用和 C2 通訊。 OneDrive、GitHub 和 DropBox 等雲端應用程式也可能受到類似的濫用。
惡意軟體詳細資料
- 該惡意軟體是用 Golang 編譯的。
- 它首先檢查它是否在「C:\Windows\Temp\svchost.exe」下運作。如果沒有,它會將自身複製到該位置,建立一個新進程,並終止原始程序。
- 它使用開源 Go 套件與 Telegram 通訊,使用從 Telegram 的 BotFather 功能取得的Token來建立機器人實例(bot instance)。 在分析的樣本中,Token為 : 「8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk」
- 惡意軟體檢查來自 Telegram 聊天的新指令。
支援的命令
- /cmd:透過 PowerShell 執行命令。 需要兩個聊天訊息:命令本身和要執行的 PowerShell 命令。在等待 PowerShell 命令之前,向聊天室發送「輸入命令:」的俄語。此指令使用下列格式執行:powershell -WindowStyle Hidden -Command <command>
- /persist:在 C:\Windows\Temp\svchost.exe 下重新啟動程式。
- /screenshot:尚未完全實現,但會向 Telegram 頻道發送「已擷取螢幕截圖」訊息。
- /selfdestruct:刪除 C:\Windows\Temp\svchost.exe 檔案並終止自身,並向 Telegram 頻道傳送訊息「自毀已啟動」。
Netskope 偵測
Netskope 進階威脅防護可針對 Trojan.Generic.37477095 等威脅提供防護。
IOC
惡意軟體相關的感染指標 (IOC) 和Script可在 GitHub 上取得。
總結
總結來說,最近發現的一款使用 Go 的後門,利用 Telegram 作為其命令和控制通道,這突顯了攻擊者利用雲端應用程式來掩蓋惡意活動的趨勢。儘管該惡意軟體仍在開發中,但已具備完整功能,能夠執行 PowerShell 指令、確保持久性以及自我毀滅。使用 Telegram 作為 C2 通道帶來了檢測上的挑戰,因為難以區分合法用戶活動與惡意通訊。Netskope 提供主動防護以應對此威脅,並將持續監控其演變。