關鍵詞

power shell

K7 Labs公布了對基于PowerShell的新惡意軟件活動的詳細分析,該活動建立在2024年的ViperSoftX系列之上 – 現在具有增強的模塊化,隱身和彈性。在2025年初通過在地下論壇和威脅狩獵社區傳播的樣本鑒定出來,這種演變表明對持久性和檢測逃避的更敏銳關注。

“該樣本類似于2024年的ViperSoftX竊賊,但模塊化,隱身和持久性機制顯著增加,”研究人員在介紹中寫道。

惡意軟件展示了一個結構化的多階段執行模型,從初始化到命令和控制(C2)通信。關鍵的區別是其模塊化設計和智能會話管理 – 與其前身更直接的方法相比。

發現的第一個增強功能是使用 mutexes:“2025年版本使用GUID風格的互斥標識符,并將睡眠時間增加到300秒 – 這延遲了沙盒檢測……”

通過用動態生成的GUID替換靜態互斥命名,惡意軟件不僅逃避檢測,而且確保只有一個實例同時運行,從而避開傳統的反惡意軟件鉤。

與2024年的同行不同,它將持久性委托給外部裝載機,2025年變體使用三層后備系統自我管理其立足點:

• ①計劃任務:名為 WindowsUpdateTask 的 Windows 登錄任務。

• ②注冊表項:在 HKCU 下運行密鑰。

• ③啟動文件夾:在用戶的啟動目錄中丟棄的批處理腳本。

“腳本將自己復制到AppData\Microsoft\Windows\Config\winconfig.ps1,”研究人員詳細說明,展示了現在如何內置隱身和冗余。

在C2交互方面,惡意軟件已經從明文POST和棄用的WebClient調用到加密的XOR編碼有效載荷和現代。NET HttpClient API 網絡。

“在2025年,它采用了現代的HttpClient。NET API…與合法的軟件行為更好地對齊,從而保持在雷達之下。

此外,惡意軟件使用巧妙的同步策略不斷檢查服務器狀態:

“每30年一次:檢查C2是否重新啟動……如果是→重置會話。Else →獲取新命令。

這種能力 – 跟蹤基礎設施重新部署 – 建議專業級后端協調,在商品惡意軟件中很少見。

惡意軟件現在支持更廣泛的偵察:

• ①通過多種回退服務提供公共 IP 地址

• ②系統信息收集

• ③針對像KeePass這樣的密碼管理器

• ④擴展錢包定位:MetaMask、Ledger、Coinbase、Exodus等。

它甚至在請求格式中模仿瀏覽器行為,在base64編碼的HTTP GET中嵌入元數據,以避免觸發入侵檢測系統。

有效載荷執行也已經成熟。“當前的變體創建PowerShell工作來運行每個解碼的有效載荷,”使檢測更加困難,執行更加穩定。

使用 PowerShell 后臺作業而不是同步 shell 命令允許惡意軟件在后臺執行任務時繼續靜默運行。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！