簡介

MintsLoader 是一款基於 PowerShell 的惡意軟體載入器,首次於 2024 年初被觀察到,已成為傳遞次要 Payload 的多功能機制,例如 StealC GhostWeaver 以及修改過的 BOINC client 。本報告詳細分析 MintsLoader 的感染鏈、規避技術及基礎架構,參考 Recorded Future、eSentire 及 Orange Cyberdefense 記錄的近期活動。

揭秘MintsLoader:剖析進階惡意軟體載入器的攻防戰 | 資訊安全新聞

技術架構與感染鏈

多階段執行

MintsLoader 透過多階段流程執行,涉及混淆的 JavaScript 與 PowerShell 腳本:

1. 第一階段:透過釣魚攻擊初始入侵

  • 傳遞方式為釣魚郵件,包含指向 KongTuke/ClickFix pages 的連結或惡意 JavaScript 附件(例如 Fattura[0-9]{8}.js )。
  • ClickFix 頁面使用假的 CAPTCHA 驗證提示,誘騙使用者透過 Windows 執行提示複製並執行 PowerShell 指令。
  • 範例 JavaScript Payload 會啟動 13 秒的延遲以規避自動化檢測,隨後執行 PowerShell 指令,使用 curl Invoke-WebRequest 下載 MintsLoader 的第二階段。

2. 第二階段:基於 PowerShell 的載入器

第二階段從動態生成的 C2 網域取得混淆的 PowerShell 腳本。主要功能包括:

  • 反分析檢查
    • 查詢 Win32_VideoController ,透過檢查 AdapterDACType 值檢測虛擬機環境(例如 VMware、Bochs)。
    • 使用 Win32_CacheMemory 屬性(例如 L1 快取存在)驗證實際機器狀態。
  • Domain Generation Algorithm (DGA)
    • 使用基於當前月份日期加常數的種子值(例如,第 5 天 + 7 = 種子值 12)每日生成 C2 網域。
    • 在字元集( abcdefghijklmn )上重覆 15 次,創建以 .top 結尾的網域(例如 abcd1234.top )。
  • Payload 檢索
    • 構建包含 10 個字元字母數字字串及查詢參數( id key s )的 URI 路徑,以取得最終 Payload。

3. 第三階段:最終 Payload 部署

  • 傳遞 StealC (基於 Arkei 的資訊竊取程式)、 GhostWeaver (PowerShell RAT)或設定為惡意分散式計算的修改版 BOINC client。
  • StealC 使用 XOR 加密字串,檢查系統語言設定(避開俄語地區),並透過 HTTP POST 請求外洩資料。

規避與反檢測技術

混淆與反靜態分析

  • JavaScript 混淆 :第一階段腳本(scripts)使用無意義註解、不可讀變數名稱(non-readable variable names)及字串編碼(例如 Base64)以阻礙靜態分析。存在三種變體,PowerShell 指令混淆方式不同(明文、字元替換或 Base64 編碼)。
  • PowerShell 腳本分層 :後續階段動態將整數解碼為 ASCII 字串,避開靜態簽章檢測。

沙箱與虛擬機規避

  • 硬體檢查
    • 透過 Get-MpComputerStatus Win32_VideoController 屬性驗證虛擬機存在。
    • 若系統解析度低於 666 像素、記憶體低於 1.1 GB 或檢測到單核 CPU,則退出。
  • 基於時間的延遲 :初始腳本包含 13 秒延遲,以繞過沙箱超時閾值(Timeout thresholds)。

動態基礎架構

  • DGA 驅動的 C2 網域 :每日網域輪替使封鎖清單更新變得複雜。例如,種子值 日期 + 7 為每次活動產生 15 個獨特網域。
  • 基於 HTTP 的通訊 :避免使用 HTTPS 以融入合法流量,儘管 GhostWeaver 後續使用帶自簽憑證的 TLS 進行 C2 加密。

案例研究:GhostWeaver 整合

GhostWeaver 作為近期 MintsLoader 的 Payload,展示了進階的後期利用能力:

  • 持久性 :透過使用 週數 + 年份 生成的 DGA 網域維持通訊。
  • 模組化插件(Modular Plugins) :支援瀏覽器資料竊取、HTML 操作,甚至透過 sendPlugin 指令進行橫向 MintsLoader 部署。
  • 反鑑識 :在 PowerShell 腳本中嵌入自簽 X.509 憑證,用於 TLS 客戶端認證,模仿 AsyncRAT 策略。

防禦建議

  1. 減緩初始存取途徑
    • 透過群組原則(GPO)停用 Windows 執行提示。
    • 使用 AppLocker 或 WDAC 封鎖 wscript.exe 執行。
  2. 增強檢測
    • 部署 Auto YARA rules (例如 Recorded Future 的 AI 生成簽章)以辨識混淆腳本。
    • 監控 HTTP 流量,尋找異常的 .top 網域連線及 PowerShell curl / iex 模式。
  3. 沙箱規避對策
    • 使用硬體輔助虛擬化以繞過虛擬機檢查。
    • 實施記憶體分析工具以檢測如 GhostWeaver 的記憶體內 Payload。

結論

MintsLoader 的模組化設計、規避技術及動態基礎架構反映了網路犯罪工具日益複雜的趨勢。其傳遞多樣化 Payload 的能力——從資訊竊取程式到加密劫持客戶端——突顯了結合行為分析、威脅情報及基礎架構監控的多層防禦需求。

參考資料

  1. Uncovering MintsLoader With Recorded Future Malware Intelligence Hunting
  2. eSentire | MintsLoader: StealC and BOINC Delivery
  3. MintsLoader (Malware Family) - Malpedia
  4. MintsLoader and GhostWeaver: The Sneaky Cyber Duo
  5. Recorded Future AI Passes the Malware Turing Test
Copyright © 2025 版權所有 翊天科技有限公司