名为Backdoor.WIN32.Buterat的复杂后门恶意软件已成为企业网络的重大威胁,其具备高级持久化技术与隐身能力,使攻击者能对受感染系统维持长期未授权访问。该恶意软件通过精心策划的钓鱼邮件、恶意附件及植入木马的软件下载,针对政府与企业环境发起攻击。与专注于即时破坏或数据窃取的传统恶意软件不同,Buterat优先追求长期潜伏与隐蔽操作,通过加密通信通道与远程命令控制(C2)服务器建立连接,执行任意命令、部署额外载荷并横向移动,同时规避传统检测机制。
技术细节:线程劫持与持久化机制
Point Wild研究人员通过SHA-256哈希值f50ec4cf0d0472a3e40ff8b9d713fb0995e648ecedf15082a88b6e6f1789cdab识别出该样本,发现其采用Borland Delphi编译并结合复杂混淆技术。恶意软件伪装成合法系统进程,通过修改注册表键值实现系统重启后持久化。
高级线程操纵与注入技术
Buterat的核心威胁在于线程劫持技术:利用混淆的API调用(如SetThreadContext和ResumeThread),在不创建新进程或修改入口点的情况下精确控制线程执行。攻击者通过SetThreadContext修改线程上下文,注入恶意代码至合法进程,再通过ResumeThread激活被篡改的线程——这一过程无新进程创建记录,大幅降低行为分析系统的检测概率。
感染期间,Buterat在用户目录释放amhost.exe 、bmhost.exe 、cmhost.exe 等多个可执行文件,建立多持久化点,并尝试连接C2服务器http://ginomp3.mooo.com/ ,实现数据窃取与远程控制。
防御建议
安全团队需监控上述IOC(入侵指标),实施网络级阻断以阻止与恶意基础设施的通信,并加强对线程异常行为、注册表篡改及可疑进程注入的检测。
发表评论
您还未登录,请先登录。
登录