ViperSoftX 不断进化: 新的 PowerShell 恶意软件具有隐蔽性和持久性

阅读量75119

发布时间 : 2025-06-05 13:29:03

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/vipersoftx-evolves-new-powershell-malware-boasts-stealth-persistence/

译文仅供参考,具体内容表达以及含义原文为准。

PowerShell 恶意软件, ViperSoftX

K7 Labs公布了对基于PowerShell的新恶意软件活动的详细分析,该活动建立在2024年的ViperSoftX系列之上 – 现在具有增强的模块化,隐身和弹性。在2025年初通过在地下论坛和威胁狩猎社区传播的样本鉴定出来,这种演变表明对持久性和检测逃避的更敏锐关注。

“该样本类似于2024年的ViperSoftX窃贼,但模块化,隐身和持久性机制显着增加,”研究人员在介绍中写道。

恶意软件展示了一个结构化的多阶段执行模型,从初始化到命令和控制(C2)通信。关键的区别是其模块化设计和智能会话管理 – 与其前身更直接的方法相比。

发现的第一个增强功能是使用 mutexes:

“2025年版本使用GUID风格的互斥标识符,并将睡眠时间增加到300秒 – 这延迟了沙盒检测……”

通过用动态生成的GUID替换静态互斥命名,恶意软件不仅逃避检测,而且确保只有一个实例同时运行,从而避开传统的反恶意软件钩。

与2024年的同行不同,它将持久性委托给外部装载机,2025年变体使用三层后备系统自我管理其立足点:

  • ①计划任务:名为 WindowsUpdateTask 的 Windows 登录任务。
  • ②注册表项:在 HKCU 下运行密钥。
  • ③启动文件夹:在用户的启动目录中丢弃的批处理脚本。

“脚本将自己复制到AppData\Microsoft\Windows\Config\winconfig.ps1,”研究人员详细说明,展示了现在如何内置隐身和冗余。

在C2交互方面,恶意软件已经从明文POST和弃用的WebClient调用到加密的XOR编码有效载荷和现代。NET HttpClient API 网络。

“在2025年,它采用了现代的HttpClient。NET API…与合法的软件行为更好地对齐,从而保持在雷达之下。

此外,恶意软件使用巧妙的同步策略不断检查服务器状态:

“每30年一次:检查C2是否重新启动……如果是→重置会话。Else →获取新命令。

这种能力 – 跟踪基础设施重新部署 – 建议专业级后端协调,在商品恶意软件中很少见。

恶意软件现在支持更广泛的侦察:

  • ①通过多种回退服务提供公共 IP 地址
  • ②系统信息收集
  • ③针对像KeePass这样的密码管理器
  • ④扩展钱包定位:MetaMask、Ledger、Coinbase、Exodus等。

它甚至在请求格式中模仿浏览器行为,在base64编码的HTTP GET中嵌入元数据,以避免触发入侵检测系统。

有效载荷执行也已经成熟。“当前的变体创建PowerShell工作来运行每个解码的有效载荷,”使检测更加困难,执行更加稳定。

使用 PowerShell 后台作业而不是同步 shell 命令允许恶意软件在后台执行任务时继续静默运行。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66