臭名昭著的 Konni 远程控制木马(Remote Access Trojan,简称 RAT)已发展到利用一种复杂的 Windows 资源管理器利用技术,使攻击者能够实施具有更强隐蔽能力的多阶段攻击。
在 2025 年初,有人观察到它将全球范围内的政府机构、外交使团和关键基础设施组织作为攻击目标。
更新后的 Konni 变种专门针对 Windows 资源管理器文件处理过程中的漏洞,使得该恶意软件能够实现持久驻留,并在不触发传统安全警报的情况下执行恶意代码。
通过利用合法的 Windows 系统进程,该恶意软件有效地将其活动伪装在正常的系统操作背后,这使得传统的安全工具更难检测到它。
Cyfirma 的研究人员在调查一起针对东南亚外交实体的定向攻击活动时,发现了这种新的攻击途径。
他们的分析显示,攻击始于带有看似无害文档附件的鱼叉式网络钓鱼电子邮件。一旦这些附件被打开,就会启动一个复杂的感染链条,最终使 Windows 资源管理器受到攻击。
这些攻击的影响不仅仅局限于即时的数据窃取。一旦恶意软件成功植入并建立起持久连接,它就会创建一个后门,使威胁行为者能够长期访问被攻陷的网络,这可能会导致横向移动、权限提升以及敏感信息被窃取。
政府、国防和关键基础设施领域的组织面临着来自这些复杂入侵的最高风险。
对攻击的技术分析揭示了一个多阶段的过程,该过程采用了无文件技术和利用系统自带二进制文件(LOLBins)的方法,以便在系统重启后仍能保持持久驻留的同时躲避检测。
感染机制
感染过程始于 Windows 资源管理器处理一个精心构造的文件,这会触发一个动态链接库(DLL)搜索顺序劫持漏洞。
恶意软件会将一个恶意的 DLL 放置在一个位置,使得 Windows 资源管理器会加载这个恶意 DLL,而不是合法的系统文件。
这种技术特别有效,因为它利用了一个具有提升权限的受信任系统进程。
// 劫持 Windows 资源管理器的恶意 DLL 代码
BOOL WINAPI DllMain (HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
if (fdwReason == DLL_PROCESS_ATTACH) {
// 创建隐藏进程以下载更多有效载荷
CreateProcessA (NULL, “cmd.exe/c powershell -e [base64 编码命令]”,
NULL, NULL, FALSE, CREATE_NO_WINDOW, NULL, NULL, &si, &pi);
// 修改注册表以实现持久驻留
RegCreateKeyExA (HKEY_CURRENT_USER, “SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,
0, NULL, 0, KEY_WRITE, NULL, &hKey, NULL);
}
return TRUE;
}
攻击利用是通过精心策划的一系列步骤实现的。首先,通过修改注册表和设置计划任务来实现持久驻留,确保恶意软件在系统重启后仍能存活。
随后,它将恶意代码注入到合法的 Windows 进程中,在通过模仿正常 HTTPS 流量的加密通道建立命令与控制通信的同时,创建更多的混淆层。
Konni 远程控制木马的这种演变代表了恶意软件技术的重大进步,也展示了威胁行为者与安全防御者之间持续的 “军备竞赛”。
各组织应实施应用程序控制策略,监控可疑的 DLL 加载模式,并部署能够识别像 Windows 资源管理器这类受信任系统进程被利用情况的行为检测系统。
发表评论
您还未登录,请先登录。
登录