PeakLight恶意软件

在过去几个月中，PeakLight恶意软件因其通过CDN链接（内容交付网络）进行的激烈感染活动而备受关注。这种活动负责诱使用户执行编码的命令行或通过伪造的验证码和/或验证门户执行恶意工件。

它旨在通过不同的持久性和规避保护与检测的技术，例如通过 LOLBINS 的 间接执行 和 多阶段感染链，窃取信息并控制受感染的计算机。同时，它利用具有全局权限的目录来便于恶意软件的部署。由于其模块化特性，它既使用合法工件（由合法公司生成的不同软件），也使用负责完成感染过程的恶意工件。

感染链

根据各种情报来源，初始感染点是通过互联网上不同页面存在的广告和弹出窗口进行的，这些广告和弹出窗口会重定向到一个域名为 .b-cdn.net/ 的网站，该网站包含一个验证验证码，指示用户在系统上打开 Run 并粘贴一个值。

上述字符串在通过 document.execCommand() 函数点击检查按钮时会自动复制到剪贴板，脚本指定要复制的值将是一个 Base64 编码的 Powershell 命令，该命令执行 Mshta.exe “”。

为了使感染链继续，受害者必须手动执行这些步骤，以正确生成部署工件的条件。这可以通过具有 Explorer.exe 父进程的 Powershell.exe 执行来识别。

例如，这种执行被记录为事件 ID 1 (进程创建)，指示了上述参数。

因此，可以看出，PowerShell 行 中包含的 Payload 对应于 Mshta.exe 命令行，该命令通过 mshta.exe 执行 “clicktogo[*]click/Downloads/tra3” 的 间接执行。

tra3 生成的内容对应于一个经过压缩的 JavaScript 文件，该文件经过双重混淆，混淆方式是通过变量位置替换值。

一旦第一阶段被解混淆，就会观察到调用不同函数，这些函数负责通过 ActiveXObject 函数（用于创建 COM 对象的函数）执行第二次解混淆过程的结果，该结果包含在 Bin 变量中。

在第二阶段之后，可以看到解混淆的脚本，它创建了 WScript.Shell 对象，以使用包含通过 AES 协议加密的 Powershell 脚本的 Bin.Run 执行系统命令行。

该执行会与 clicktogo[*]click/Downloads/tar3.zip URL 建立网络连接（此 URL 是在解密和解混淆 Powershell 命令行后获得的）。

该过程负责下载并在系统上建立攻击者在攻击链中使用的各种工具。

生成的工具之一是 Setup.exe，它在执行加密的 PowerShell 时会自动运行，进而生成 more.com 进程和 conhost.exe 线程。

More.com 进程会在 Setup.exe 进程结束后大约 15 秒生成另一个名为 RewardFlaccid.a3x 的进程。

一旦 RewardFlaccid.a3x 生成的网络活动结束，该进程就会被终止，感染链也随之结束，所有恶意工具已在受害者的计算机上部署完成。

感染链

根据所做的分析，感染过程可以总结为 4 个阶段（图 3.1）：

1.初始阶段： 对包含与 PeakLight 攻击活动 相关的广告和/或弹出窗口的网站进行互联网浏览。

2.接入点： 用户按照攻击者网站上列出的手动执行指令上当受骗。

3.执行点： 由于终端执行命令行没有限制，导致 Mshta.exe 的间接执行，从而负责下载恶意工具。

4.部署点： 一旦恶意工具被下载，它们会被部署在 AppData\Local* 目录中并自主运行，通过 TLS 与攻击者网站建立网络连接，最终完成感染过程。

 无偿获取免费网安资料:

 申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。