章
目
录
臭名昭著的Konni远程控制木马(RAT)一直是众多安全从业者重点关注的对象。近期,它又有了新的攻击手段,通过利用复杂的Windows资源管理器技术,实施隐蔽性更强的多阶段攻击,给众多组织带来了严重的安全威胁。
一、攻击背景与目标
2025年初,有迹象显示Konni RAT将攻击矛头指向了全球范围内的政府机构、外交使团以及关键基础设施组织。它针对Windows资源管理器文件处理过程中的漏洞进行了专门的“优化”,这种更新后的变种能够借助合法的Windows系统进程,把恶意活动巧妙地隐藏在正常系统操作背后,让传统的安全工具难以察觉,进而实现持久驻留和恶意代码执行。
二、攻击发现过程
Cyfirma的研究人员在对一起针对东南亚外交实体的定向攻击展开调查时,发现了这一新型攻击方式。攻击的源头是带有看似无害文档附件的鱼叉式网络钓鱼电子邮件。当用户不慎打开这些附件后,就会触发一系列复杂的感染流程,最终导致Windows资源管理器遭到攻击。
三、攻击影响
这类攻击的危害不容小觑,其影响远不止于即时的数据窃取。一旦恶意软件成功植入并建立持久连接,就会在系统中创建后门。这使得威胁行为者能够长期访问被攻陷的网络,进而进行横向移动、权限提升等操作,窃取大量敏感信息。尤其是政府、国防和关键基础设施领域的组织,面临的风险最为严峻。
四、感染机制
(一)DLL搜索顺序劫持
感染过程起始于Windows资源管理器处理特制文件,这一操作会触发动态链接库(DLL)搜索顺序劫持漏洞。恶意软件会把恶意DLL放置在特定位置,使得Windows资源管理器在加载文件时,优先加载恶意DLL,而非合法的系统文件。由于利用的是具有提升权限的受信任系统进程,这种攻击手段极具隐蔽性和危害性。
(二)恶意DLL代码分析
以下是劫持Windows资源管理器的恶意DLL代码:
// DLL的入口函数,hinstDLL为当前DLL的实例句柄,fdwReason表示DLL被调用的原因,lpReserved为保留参数
BOOL WINAPI DllMain (HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) {
// 当DLL被加载到进程地址空间时,fdwReason的值为DLL_PROCESS_ATTACH
if (fdwReason == DLL_PROCESS_ATTACH) {
// 创建隐藏进程,使用powershell执行base64编码命令,用于下载更多恶意载荷
CreateProcessA (NULL, "cmd.exe/c powershell -e [base64编码命令]",
NULL, NULL, FALSE, CREATE_NO_WINDOW, NULL, NULL, &si, &pi);
// 修改注册表,在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run路径下创建键值,实现恶意软件的持久驻留
RegCreateKeyExA (HKEY_CURRENT_USER, "SOFTWARE\Microsoft\Windows\CurrentVersion\Run",
0, NULL, 0, KEY_WRITE, NULL, &hKey, NULL);
}
return TRUE;
}
在这段代码中,当恶意DLL被加载到进程时,会创建隐藏进程下载更多恶意载荷,并修改注册表实现持久驻留。
(三)攻击利用步骤
整个攻击利用过程经过了精心策划。首先,恶意软件通过修改注册表和设置计划任务,确保在系统重启后仍能存活,实现持久驻留。接着,它将恶意代码注入到合法的Windows进程中,同时利用加密通道模仿正常的HTTPS流量进行命令与控制通信,增加了更多混淆手段,进一步逃避检测。
五、应对策略
面对Konni RAT这种不断演变的恶意软件,各组织需要积极采取应对措施。可以实施应用程序控制策略,严格限制应用程序的运行权限;加强对可疑DLL加载模式的监控,及时发现异常行为;部署行为检测系统,专门识别像Windows资源管理器这类受信任系统进程被利用的情况,从而有效防范此类攻击。
Konni RAT的这种新攻击方式,再次凸显了网络安全领域攻防对抗的激烈程度。安全从业者和相关组织必须时刻保持警惕,不断更新安全防护策略,才能更好地应对日益复杂的网络威胁。
