网络安全研究人员披露了一项多阶段恶意软件攻击活动的详细信息,该活动使用批处理脚本作为传播途径,投放与XWorm、AsyncRAT和Xeno RAT相对应的各种加密远程访问木马(RAT)载荷。
Securonix威胁研究团队将这一隐蔽的攻击链命名为VOID#GEIST。
从宏观层面来看,经过混淆的批处理脚本被用于部署第二个批处理脚本,植入一个合法的嵌入式Python运行时环境,并解密加密的shellcode代码块。这些代码块通过一种名为Early Bird异步过程调用(APC)注入的技术,被注入到独立的"explorer.exe"实例中,直接在内存中执行。
研究人员Akshay Gaikwad、Shikha Sangwan和Aaron Beardslee在与The Hacker News分享的技术报告中表示:"现代恶意软件攻击活动越来越多地从独立可执行文件转向复杂的基于脚本的传播框架,这些框架高度模仿合法用户活动。攻击者不再部署传统的PE二进制文件,而是利用模块化管道,包括用于编排的批处理脚本、用于隐蔽植入的PowerShell、用于可移植性的合法嵌入式运行时环境,以及直接在内存中执行的原始shellcode来实现持久化和控制。"
这种无文件执行机制最大限度地减少了基于磁盘的检测机会,从而使威胁行为者能够在受感染的系统中运行而不触发安全警报。此外,这种方法还提供了一个额外的优势,即这些单独的阶段在孤立状态下看起来是无害的,类似于常规的管理活动。
攻击的起点是一个从TryCloudflare域获取的批处理脚本,通过钓鱼邮件分发。一旦启动,它故意避免采取提升权限的步骤,利用当前登录用户的权限来建立初始立足点,同时融入看似无害的管理操作中。
初始阶段充当启动平台,通过全屏启动Google Chrome来显示一个诱饵PDF。显示的财务文档或发票充当视觉干扰,以掩盖幕后发生的事情。这包括启动PowerShell命令重新执行原始批处理脚本,例如使用-WindowStyle Hidden参数来避免显示控制台窗口。
为了确保在系统重启后的持久性,一个辅助批处理脚本被放置在Windows用户的启动目录中,以便每次受害者登录系统时自动执行。故意不使用更具侵入性的持久化方法,因为这会减少取证痕迹。
研究人员表示:"从技术上讲,这种持久化方法完全在当前用户的权限上下文中运行。它不修改系统级注册表项,不创建计划任务,也不安装服务。相反,它依赖于标准的用户级启动行为,不需要提升权限,产生的安全摩擦最小。这种设计选择降低了触发权限提升提示或注册表监控警报的可能性。"
下一阶段开始时,恶意软件会连接到TryCloudflare域以获取ZIP压缩包形式的额外载荷,其中包含多个文件:
runn.py,一个基于Python的加载器脚本,负责解密加密的shellcode载荷模块并将其注入内存
new.bin,对应XWorm的加密shellcode载荷
xn.bin,对应Xeno RAT的加密shellcode载荷
pul.bin,对应AsyncRAT的加密shellcode载荷
a.json、n.json和p.json,包含Python加载器在运行时动态解密shellcode所需的解密密钥的密钥文件
文件提取后,攻击序列直接从python[.]org部署一个合法的嵌入式Python运行时环境。这一步骤提供了几个优势。首先,它消除了对系统的任何依赖。因此,即使受感染的终端没有安装Python,恶意软件也可以继续运行。
Securonix表示:"从攻击者的角度来看,这一阶段的目标是可移植性、可靠性和隐蔽性。通过将合法的解释器嵌入到植入目录中,恶意软件将自己转变为一个完全独立的执行环境,能够在不依赖外部系统组件的情况下解密和注入载荷模块。"
攻击的主要目标是利用Python运行时环境启动"runn.py",然后使用Early Bird APC注入技术解密并运行XWorm载荷。恶意软件还利用合法的微软二进制文件"AppInstallerPythonRedirector.exe"来调用Python并启动Xeno RAT。在最后阶段,Python加载器使用相同的注入机制启动AsyncRAT。
感染链以恶意软件向托管在TryCloudflare上的攻击者控制的C2基础设施发送最小HTTP信标来确认数字入侵而告终。目前尚不清楚攻击的目标是谁,以及是否有任何成功的入侵。
Securonix表示:"这种重复的注入模式强化了框架的模块化架构。攻击者不是传递单一的整体载荷,而是逐步部署组件,提高了灵活性和弹性。从检测的角度来看,在短时间窗口内重复向explorer.exe进行进程注入是一个强有力的行为指标,与攻击的各个阶段相关联。"
Q&A
Q1:VOID#GEIST恶意软件攻击活动是如何工作的?
A:VOID#GEIST使用多阶段攻击链,首先通过钓鱼邮件分发批处理脚本,然后部署Python运行时环境,最后通过Early Bird APC注入技术将XWorm、AsyncRAT和Xeno RAT等加密远程访问木马载荷直接注入内存执行。整个过程采用无文件执行机制,最大限度减少磁盘检测机会。
Q2:VOID#GEIST恶意软件如何实现持久化而不被发现?
A:该恶意软件将辅助批处理脚本放置在Windows用户的启动目录中,每次用户登录时自动执行。这种方法完全在当前用户权限上下文中运行,不修改系统级注册表、不创建计划任务或安装服务,因此产生的安全摩擦最小,不易触发安全警报。
Q3:VOID#GEIST恶意软件为什么要嵌入Python运行时环境?
A:嵌入合法的Python运行时环境有三个主要优势:可移植性、可靠性和隐蔽性。它消除了对系统的依赖,即使受感染终端没有安装Python也能继续运行,同时将恶意软件转变为完全独立的执行环境,能够在不依赖外部系统组件的情况下解密和注入载荷模块。
好文章,需要你的鼓励
海外博主做了一次 Siri AI、ChatGPT、Claude 横评。看完之后我最大的感受是,AI 助手的竞争已经不只是模型能力,而是谁离用户更近。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
SkillOpt-Lite通过将智能体技能优化形式化为零阶优化问题,提出极简流水线:把执行轨迹存为文本文件,让AI直接用文件系统工具翻日志、找规律、改技能,配合独立验证门控,比复杂的多智能体优化框架跑得更快效果更好,并自然延伸至执行框架自动优化(HarnessOpt),使轻量模型能够超越大模型。