摘要
TransferLoader 是一款於2025年2月首次發現的複雜惡意軟體載入器,主要目的為部署如後門程式和勒索軟體等次要 Payload。此報告提供其組件、反分析機制、C2(指揮與控制)基礎設施及操作策略的技術剖析,重點關注其模組化架構及規避技術。
1. 簡介
TransferLoader 因其模組化設計及去中心化基礎設施的整合,成為重要的網路安全威脅。其主要組件包括下載器(Downloader)、後門程式(Backdoor)及後門載入器(Backdoor loader),使攻擊者能夠執行任意命令、部署勒索軟體(特別是 Morpheus)並在受感染系統上維持持久性。本報告根據 Zscaler ThreatLabz 及其他安全研究人員的發現,分析其技術框架。
2. 技術分析
2.1 模組化組件
TransferLoader 透過三個相互依賴的模組運作:
-
Downloader
:透過 HTTPS GET 請求從 C2 伺服器(例如
https://mainstomp[.]cloud)擷取額外的 Payload。Payload 使用 4 位元組 XOR 密鑰(0xFFFFFFFF)解密,隨後執行誘騙性 PDF 以掩蓋惡意活動。 -
Backdoor Loader
:將程式碼注入合法程序(例如
explorer.exe或wordpad.exe)。透過修改登錄鍵(如SOFTWARE\Classes\CLSID\{1BAC8681-2965-4FFC-92D1-170CA4099E01})使用 COM hijacking 來實現持久性。 - Backdoor :透過 HTTPS 或raw TCP 執行遠端命令。其獨特功能是回退至 InterPlanetary 檔案系統(IPFS)以進行 C2 更新,確保對伺服器關閉的抗性。
2.2 反分析技術
TransferLoader 採用多層混淆及反除錯措施:
-
程式碼混淆
:
- 方法 1 :透過從當前指令位址減去 Hardcoded 偏移量來操控控制流(參見原始資料圖 3)。
- 方法 2 :使用 SIMD 暫存器儲存本機變數並注入垃圾(junk)指令(例如Redundant arithmetic operations)以妨礙反組譯(參見圖 4)。
-
字串解密
:字串在運行時使用 8 位元組唯一密鑰進行位元 XOR 解密。例如,6 位元組加密字串
[0xE0, 0xE0, 0x24, 0x33, 0x1A, 0xA1]使用0x7EFFA11A3315E0BC解密。 -
反除錯
:
-
檢查程序環境區塊(PEB)中的
BeingDebugged標誌。 -
驗證檔案名稱是否包含如
ess_的子字串,並要求多個命令列參數才能執行。
-
檢查程序環境區塊(PEB)中的
2.3 Payload 解密流程
TransferLoader 使用多步驟流程解密嵌入的 Payload:
-
從 PE 區段(例如
.dbg或.secenc)提取加密資料。 - 衍生出客製化的 Base32 字元集及 1 位元組密鑰。
-
使用修改後的密鑰擴展(僅使用
r_con陣列的第一個元素)使用 AES-CBC 解密。
範例解密程式碼片段 :
- out = bytearray()
- key = 0xFFFF
- for i in range(len(base32_charset)):
- if input[i] < key:
- key = base32_charset[i]
- key -= 1
- for c in section_data:
- out.append(c + key)
2.4 C2 基礎設施與持久性
-
C2 通訊
:
-
使用帶有客製標頭的 HTTPS(
User-Agent: Microsoft Edge/1.0及X-Custom-Header)。 -
回退至 IPFS 以進行 C2 更新(例如
https://ipfs.io/ipns/k51qzi5uqu5djqy6wp9nng1igaatx8nxwpye9iz18ce6b8ycihw8nt04khemao)。
-
使用帶有客製標頭的 HTTPS(
-
持久性機制
:
-
在
SOFTWARE\Microsoft\Phone\Config下修改登錄以儲存 C2 URL、超時時間及加密密鑰。 -
Named pipe(
nice)用於設定管理,支援如更新 C2 伺服器(命令 ID 6)或自我移除(命令 ID 8)等命令。
-
在
3. 案例研究:Morpheus 勒索軟體部署
在對一家美國律師事務所的記錄攻擊中,TransferLoader 部署了 Morpheus 勒索軟體,該軟體會加密檔案並要求支付解密費用。該勒索軟體與 TransferLoader 在字串解密常式上具有程式碼相似性,但確切的關聯仍不明確。
4. 緩解策略
-
偵測
:Zscaler 的沙箱分析將 TransferLoader 識別為
Win32.Downloader.TransferDownloader。 - 網路監控 :追蹤異常 IPFS 流量及帶有客製標頭的 HTTPS 請求。
-
端點保護
:阻止將程式碼注入
explorer.exe或修改 COM 相關登錄鍵的程序。
5. 結論
TransferLoader 展示了惡意軟體載入器的進化,結合模組化、反分析技術及去中心化基礎設施。其使用 IPFS 及基於 SIMD 的混淆技術對傳統偵測方法構成挑戰,需採用進階行為分析及威脅情報整合。