利用 Microsoft Graph API,Outlook 成恶意软件传播新渠道

安全
这一复杂的恶意软件包括一个自定义加载程序和一个后门,分别被称为PATHLOADER和FINALDRAFT。根据其复杂性和长期运行的特点,该恶意软件主要被用于网络间谍活动。

近日,研究人员发现了一种新型恶意软件系列,通过Microsoft Graph API利用Microsoft Outlook作为通信渠道。这一复杂的恶意软件包括一个自定义加载程序和一个后门,分别被称为PATHLOADER和FINALDRAFT。根据其复杂性和长期运行的特点,该恶意软件主要被用于网络间谍活动。

恶意软件的核心组件

(1) PATHLOADER:轻量级加载程序

PATHLOADER是一个轻量级的Windows可执行文件,用于从外部基础设施下载并执行加密的shellcode。为了避免静态分析,它使用了Fowler-Noll-Vo哈希函数进行API哈希处理,并将配置嵌入到.data部分中,其中包括C2(命令与控制)设置。研究人员发现,PATHLOADER使用字符串加密来混淆其功能,这使得分析人员难以追踪其控制流。

此外,PATHLOADER通过使用GetTickCount64和Sleep方法,避免了在沙箱环境中立即执行。随后,它通过HTTPS GET请求从预配置的C2域名下载shellcode。

(2) FINALDRAFT:数据窃取与进程注入

FINALDRAFT是一个用C++编写的64位恶意软件,主要专注于数据窃取和进程注入。它使用Microsoft Graph API与其C2服务器进行通信。恶意软件通过存储在配置中的刷新令牌获取Microsoft Graph API令牌,并在令牌有效期间重复使用。

FINALDRAFT通过在Outlook中创建会话邮件草稿与C2服务器通信。这些邮件的内容经过Base64编码,但未进行AES加密。命令会被处理,响应则写入新的邮件草稿中。

通信协议与关键功能

通信协议的核心是创建一个会话邮件草稿(如果不存在)。每个处理后的命令都会将响应写入邮件草稿中。会话数据结构包括会话ID和构建编号。

FINALDRAFT通过检查邮件草稿中的最后五个C2命令请求邮件来填充命令。读取请求后,这些邮件会被删除。恶意软件注册了37个命令处理程序,主要涉及进程注入、文件操作和网络代理功能。一些关键命令包括:

  • GatherComputerInformation:收集并发送受害机器的信息。
  • StartTcpServerProxyToC2:启动一个TCP服务器代理,连接到C2服务器。
  • DoProcessInjectionSendOutputEx:注入到正在运行的进程中并发送输出。

如何防御此类威胁

利用Microsoft Graph API进行C2通信的行为凸显了采取增强安全措施的迫切性。为抵御像FINALDRAFT这样复杂的恶意软件威胁,组织应定期监控Microsoft Graph API的使用情况,以发现任何可疑活动,并实施严格的访问控制,限制对Outlook和API的访问,仅允许必要人员使用。

此外,部署高级端点安全解决方案有助于检测和阻止恶意软件的执行,而定期进行安全审计则可确保潜在漏洞得到识别和修复。这些主动措施将显著增强组织的安全态势。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2014-09-23 17:14:39

2013-02-01 10:39:01

2015-01-20 11:40:43

2024-10-11 16:52:12

2021-12-07 18:39:19

黑客虚假广告恶意软件

2025-01-24 07:31:34

2024-02-19 08:16:40

2015-05-12 10:53:33

2014-02-19 17:44:59

2022-09-16 14:26:56

恶意软件网络攻击

2021-03-12 10:20:51

谷歌Clast82恶意软件

2020-03-17 08:09:30

恶意软件安全木马

2010-10-14 12:00:28

2020-03-03 09:42:58

恶意软件网络罪犯病毒

2023-11-10 16:14:29

2023-11-01 13:29:01

2022-05-23 13:36:31

恶意软件网络攻击

2019-03-15 08:59:47

CS 1.6服务器恶意软件

2022-02-18 15:22:17

黑客恶意软件

2020-09-28 13:57:35

恶意软件黑客网络攻击
点赞
收藏

51CTO技术栈公众号