CRON#TRAP：模拟 Linux 环境是恶意软件攻击的最新手段

https://www.securonix.com/blog/crontrap-emulated-linux-environments-as-the-latest-tactic-in-malware-staging/

CRON#TRAP 是一种新的网络钓鱼攻击，它使用模拟的 Linux 环境来绕过安全措施并建立持久后门。

利用 QEMU 和 Chisel，黑客可以获得秘密访问权限来窃取数据并控制系统。

Securonix Threat Research 

发现了一个复杂的网络钓鱼活动“CRON#TRAP”，它利用一种独特的方法渗透系统并建立持久后门。

这种创造性的攻击方法涉及在受感染的端点内部署模拟的 Linux 环境，特别是 Tiny Core Linux。

CRON#TRAP的多阶段攻击流程

CRON#TRAP 活动采用多阶段攻击方法来破坏目标系统并建立持久后门。

初始感染媒介通常涉及包含恶意 ZIP 和快捷方式文件（名为 OneAmerica Survey.zip 和 OneAmerica Survey.lnk）的网络钓鱼电子邮件。

恶意附件通常会伪装成合法文档（例如调查或软件更新），以诱骗用户执行。

LNK（快捷方式）文件分析：命令和进程详细信息

start.bat的内容

诱饵图像伪装成服务器错误

Tiny Core Linux QEMU 实例

执行后，此快捷方式文件会下载大型 ZIP 存档，其中包含模拟 Linux 环境所需的组件。

模拟 Linux 环境部署

下载的存档包含自定义 Linux 发行版（例如 Tiny Core Linux）和 QEMU 虚拟化工具。

批处理文件“start.bat”显示服务器错误消息，表明服务器端调查链接存在问题。

该脚本执行 QEMU 进程和命令行以启动模拟 Linux 环境，为攻击者的活动创建隐蔽环境。

explorer.exe 进程会执行 HTTPS 托管的图像，该图像会显示在用户的默认浏览器中。

这允许攻击者进一步将该活动伪装成合法的系统行为，从而避免被发现。

攻击环境的安装

在模拟的 Linux 环境中，攻击者安装了一个预先配置的 Chisel 客户端。

这是一个隧道工具，可与远程命令和控制 (C&C) 服务器建立隐蔽的通信通道。

通过 Chisel 隧道工具，攻击者可以通过 HTTP 和 SSH 协议建立安全隧道。

该工具配置了特定的设置，例如目标 C＆C 服务器地址、端口号和加密参数，使其能够自动连接到攻击者的基础设施。

Chisel 客户端在模拟的 Linux 环境中执行，每当系统启动或启动时都会激活后门。

这种安全的加密连接使攻击者能够在受感染的系统和攻击者的基础设施之间传输数据和命令。

这种安全连接允许攻击者执行任意命令、下载恶意软件、窃取敏感数据、操纵系统设置、泄露敏感数据、部署持久性机制、修改注册表设置、创建计划任务、安装rootkit以及传播到其他网络系统。

使用合法工具的规避技术

通过在合法虚拟化工具 QEMU 中伪装恶意活动，攻击者可以绕过传统的安全措施并建立隐秘的立足点。

此外，使用 Chisel 隧道工具可让攻击者保持持久访问并执行进一步的恶意操作。

报告中写道：“攻击者对 QEMU 和 Chisel 等合法软件的依赖增加了额外的规避层面，因为这些工具在许多环境中不太可能触发警报。”

CRON#TRAP 活动突显了网络犯罪分子不断演变的策略，包括模拟环境和合法软件滥用。

这种方法允许攻击者获得对受感染系统的持续访问权限，这凸显了警惕可疑电子邮件的重要性。