关键词
木马病毒
新型变种技术特征分析
安全研究人员发现,ACRStealer信息窃取木马近期出现重大技术迭代。该恶意软件通过"死投解析器"(DDR)技术,将谷歌文档服务(Google Docs)与Steam游戏平台作为命令控制(C2)中转节点,实现了前所未有的隐蔽通信能力。与依赖传统C2服务器的恶意软件不同,该变种将指令报文伪装成正常平台交互数据,使得网络流量监控系统难以有效识别。
多层级规避技术突破
- 底层通信架构
:弃用标准HTTP库,直接调用Windows AFD驱动接口(如NtCreateFile/NtDeviceIoControlFile),规避基于应用层流量分析的检测方案
- 天堂之门(Heaven's Gate)技术
:通过动态切换x86/x64执行模式干扰分析工具,尤其针对企业级EDR系统的内存扫描机制
- 合法平台滥用
:利用Google Docs的文档注释功能及Steam社区动态栏作为指令载体,将加密命令隐藏在看似正常的用户生成内容中
攻击链演化趋势
ASEC监测显示,攻击者自2024年初持续优化载荷投递方式:
初始传播渠道:钓鱼邮件附件的ISO镜像文件(伪造成发票文档)
持久化机制:通过Windows计划任务植入伪装成显卡驱动的DLL侧加载组件
数据渗出路径:先压缩加密目标文档,再分流上传至MEGA等云存储平台
防御建议
启用网络流量深度检测规则,重点关注Google Docs API调用中的异常长连接
在终端安全策略中限制进程对AFD驱动的直接调用行为
对Steam客户端进程的网络连接实施应用白名单管控
部署具备WoW64进程监控能力的行为分析工具,识别天堂之门技术特征码
事件影响评估
该变种标志着网络犯罪团伙对"生活化平台武器化"策略的成熟应用。通过滥用日均访问量超20亿次的合法服务,攻击者不仅大幅降低C2基础设施成本,更使得防御方面临误伤正常业务流量的两难选择。目前已有金融、跨境电商行业企业报告相关入侵指标(IoC),建议立即核查网络日志中是否存在下列异常模式:
api.steampowered.com/IEconItems*/comment
docs.google.com/document/d/*/review 安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.