勒索软件团伙越来越多地使用Skitnet剥削后恶意软件

隐身和强大的后门

Skitnet感染始于基于Rust的加载器在目标系统上下放并执行,该系统解密了ChaCha20加密的Nim二进制文件并将其加载到内存中。

Nim 有效载荷建立了一个基于 DNS 的反向外壳,用于与命令和控制 (C2) 服务器通信,通过随机 DNS 查询启动会话。

恶意软件启动三个线程,一个用于发送心跳DNS请求,一个用于监视和泄露shell输出,一个用于侦听和解密DNS响应的命令。

要执行的通信和命令通过 HTTP 或 DNS 发送,基于通过 Skitnet C2 控制面板发出的命令。C2 面板允许操作员查看目标的 IP、位置、状态和发出执行命令。

支持的命令有:

• startup – 通过下载三个文件(包括恶意DLL)并在启动文件夹中创建合法华硕可执行文件(ISP.exe)的快捷方式来建立持久性。这触发了执行PowerShell脚本(pas.ps1)以进行持续C2通信的DLL劫持。
• 屏幕 – 使用 PowerShell 捕获受害者桌面的屏幕截图,将其上传到 Imgur,然后将图像 URL 发送回 C2 服务器。
• Anydesk Anydesk – 下载并默默地安装AnyDesk,一个合法的远程访问工具,同时隐藏窗口和通知托盘图标。
• Rutserv – 下载并默默地安装RUT-Serv,另一个合法的远程访问工具。
• Shell – 启动 PowerShell 命令循环。发送初始“壳牌开始……”消息,然后反复投票(?m) 使用 Invoke-Expression 执行的新命令,服务器每 5 秒一次,并发送结果。
• Av – 通过查询 WMI(在 root\SecurityCenter2 命名空间中的 SELECT * FROM AntiVirusProduct ) 来枚举已安装的防病毒和安全软件。将结果发送到 C2 服务器。

除了核心命令集之外,操作人员还可以利用涉及 .NET加载器,允许他们在内存中执行PowerShell脚本,以进行更深入的攻击定制。

虽然勒索软件组经常使用针对特定操作量身定制的定制工具,并且具有低AV检测,但这些开发成本高昂,并且需要技术娴熟的开发人员,这些开发人员并不总是可用的,特别是在低层组中。

使用像Skitnet这样的现成恶意软件更便宜,部署速度更快,并且可以使归因更加困难,因为许多威胁行为者使用它。

在勒索软件领域,这两种方法都有空间,甚至是两者的混合,但Skitnet的功能使其特别吸引黑客。

Prodaft 在其 GitHub 存储库中发布了与 Skitnet 相关的折衷指标 (IoCs)。