為了躲過EDR與防毒軟體的偵測,駭客大多採取癱瘓這類端點防護機制運作的策略,其中最普遍的做法,是濫用存在已知弱點的驅動程式,藉由自帶驅動程式(BYOVD)來達到目的,但現在有人開始運用Linux惡意程式來對付Windows電腦。
資安業者Bitdefender與喬治亞電腦緊急應變中心(CERT-GE)聯手,調查俄羅斯駭客組織Curly COMrades最新一波攻擊行動,這些駭客在執行Windows 10作業系統的電腦上,濫用虛擬化平臺Hyper-V,以此建立隱密的長期存取管道,具體作法是部署以輕量化著稱的Alpine Linux虛擬機器(VM),用於部署惡意程式,其中包含了名為CurlyShell的反向Shell,以及反向代理伺服器CurlCat。
由於Alpine Linux所需資源甚少,以上述的虛擬機器而言,僅占用120 MB磁碟空間,且只需256 MB記憶體(RAM)就能運作,因此受害者難以察覺異狀。攻擊者採用虛擬機器隔離惡意程式,成功繞過許多EDR系統的偵測,對此,Bitdefender認為,EDR必須實作以主機為基礎的網路檢測機制,才有機會發現從虛擬機器逃逸的C2流量,並透過強化機制來因應原生系統元件被濫用的情況。
附帶一提的是,為了持續透過反向代理伺服器進行存取,駭客多次引入新的工具,包括:Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel,以及以SSH為基礎的手段。
Bitdefender在7月初看到相關活動,當時駭客下達遠端命令,透過部署映像服務與管理工具(DISM)在兩臺Windows電腦啟用Hyper-V的功能,但同時也停用其管理介面。
數天後Curly COMrades試圖部署虛擬機器,並將其名稱設置為WSL,企圖讓使用者誤以為是Windows Subsystem for Linux(WSL)功能的設置。此虛擬機器採用預設的網路卡,並透過Hyper-V內部的NAT服務,使得相關流量看起來都來自主機。
這些遭非法建置的虛擬機器,內部並未設置大型的多功能框架或滲透測試工具,僅部署CurlyShell與CurlCat兩款惡意程式,它們皆以程式庫libcurl打造而成,其中CurlyShell為反向Shell,功能是透過HTTPS連線與C2基礎設施通訊;CurlCat用於管理流量隧道,攻擊者藉此遠端存取受害電腦與執行命令。
透過Linux惡意程式攻擊Windows電腦,藉此迴避EDR偵測的情況,已有前例。趨勢科技近日揭露勒索軟體Qilin最新一波攻擊行動,駭客透過遠端管理工具Splashtop執行Linux版勒索軟體,以此加密Windows電腦的檔案。
熱門新聞
2025-11-12
2025-11-10
2025-11-12
2025-11-10
2025-11-10
2025-11-12