在上个月的MicrosoftExposé报告中完全揭露了秘密之后,sLoad恶意软件的操作员在本月初发布了经过修改的2.0版本。
这个新的sLoad版本(也称为Starslord)变化不大,但是sLoad帮派在暴露其操作后不到一个月的时间内便发布了一个新版本,这一事实表明了恶意软件作者经的操作更新速度。
SLOAD恶意软件操作
sLoad恶意软件不是新事物。这是一种已经存在多年的恶意软件。该恶意软件被称为“恶意软件下载程序”或“恶意软件删除程序”。
sLoad的主要目的是感染Windows PC,收集有关其感染系统的信息,将此信息发送到命令和控制(C&C)服务器,然后等待下载和安装第二个恶意软件。
该恶意软件的存在是为了充当更强大的恶意软件应变的传递系统,并通过为其他网络犯罪活动(例如,如Ramnit银行木马犯罪组织)提供按安装付费的空间,来帮助sLoad帮派赚钱。
根据Microsoft的说法,由于不需要的复杂程度和使用非标准技术,sLoad是少数脱颖而出的恶意软件下载器之一。
SLOAD的BITS
根据Microsoft从2019年12月发布的报告,sLoad已成为将整个主机服务器通信系统移植到Windows BITS服务的少数恶意软件之一。
对于不熟悉该术语的用户,Windows BITS是Microsoft将Windows更新发送给全世界用户的默认系统。BITS服务通过检测用户何时不使用其网络连接并利用此停机时间来下载Windows更新来工作。
但是,BITS服务并不完全保留给Windows Update进程。其他应用程序可以利用BITS并使用它来计划计算机的网络连接处于空闲状态时进行的任务和网络操作。
sLoad作者似乎是该服务的最大支持者。微软表示,该恶意软件的整个网络堆栈都配置为通过受感染主机的Windows BITS服务运行。
该恶意软件将设置BITS计划的任务,这些任务将定期执行。这些任务将用于与其C&C服务器进行通信,下载辅助恶意软件有效负载,甚至将数据从受感染的主机发送回C&C服务器(sLoad v1.0包括获取受感染主机的屏幕截图的功能)。
尽管其他恶意软件(例如Win32 / StealthFalcon,Zlob.Q,UBoat RAT,Rustock和Linkoptimizer)也使用了BITS,但sLoad几乎依赖于它进行的所有通信,使其成为恶意软件领域的独特入口。
此外,除了使用静默的BITS通信外,sLoad还严重依赖PowerShell脚本语言,该脚本语言用于支持“无文件执行”模式,该模式完全在RAM内运行,而无需在磁盘上放置工件。
需要改变作案手法
微软上个月的报告揭露了sLoad的功能,并提高了网络安全厂商对恶意软件作案手法的认识。
像这样的曝光对恶意软件帮派来说是危险的,因为它们可能意味着更频繁地检测到其恶意负载。在大多数情况下,大多数恶意软件团伙会升级或重新安装工具,以期领先于网络安全厂商。
sLoad帮派正是这样做的。在几周内,他们修改了代码并进行了更改,从今年开始发布了新的sLoad v2.0。
但是,如果sLoad团伙希望保持领先于Microsoft的优势,那么他们基本不会成功,因为该公司今天发布了另一篇展览,详细介绍了与上个月的v1.0类似的新v2.0。
根据Microsoft Defender ATP研究团队的恶意软件分析师部分的Sujit Magar所述,sLoad 2.0基本上保持不变,仍在所有网络操作中仅使用BITS,仍依靠PowerShell脚本进行无文件执行,并且仍仍然作为其犯罪集团的恶意软件下载器。
唯一改变的是在感染过程中使用WSF脚本而不是VB脚本,添加了检查以检测恶意软件分析师是否正在查看代码,以及推出了一个新的系统来跟踪sLoad感染的阶段。
在这三个新增功能中,最后一个是最新颖的功能,在其他恶意软件中没有发现。这种新机制通过在与C&C服务器通信的BITS作业的末尾添加一个小的数值来起作用。
该数值告诉sLoad团队sLoad感染的阶段。此功能的目的可能有所不同。Magar认为,这可以用于将sLoad主机组织为子组,然后将命令发送到感染了sLoad的特定主机。
另一个目的可能是为了调试目的而添加了此功能,以防新的sLoad版本崩溃或在特定阶段停止,从而使sLoad团队可以向崩溃的sLoad感染发送命令并修复任何错误。
无论哪种方式,Microsoft似乎都在最新的sLoad更新之上,其最新的技术报告也应帮助其他供应商跟上检测此新版本的步伐。
*编译:Domino
*来自:ZDNET