北京
南亚某金融机构的服务器日志里,最近出现了两个名字有点萌的恶意程序:BRUSHWORM(刷虫)和BRUSHLOGGER(刷日志)。但别被名字骗了——这对组合完成了文件窃取、持久化驻留、实时键盘记录的全套操作,活像一把瑞士军刀插进了银行的后门。
Elastic Security Labs的研究人员复盘时发现,攻击者把BRUSHWORM伪装成paint.exe(画图程序),BRUSHLOGGER则借壳libcurl.dll(一个常见的Windows网络库)。一个负责当"内鬼",一个负责记"口供",分工明确得像流水线。
攻击者的"工具箱"里有什么
BRUSHWORM的核心功能清单长得像个产品经理的需求文档:建立持久化后门、连接远程控制服务器、下载更多恶意载荷、通过U盘横向移动、窃取敏感文档。它还会自动感染插入的USB设备,把自身复制成"Salary Slips.exe""Documents.exe""Dont Delete.exe"这类文件名——精准拿捏了财务人员对工资单和内部文档的好奇心。
BRUSHLOGGER的任务更单一:静默记录每一次键盘输入,同时抓取当前活动窗口的标题。登录密码、转账金额、内部聊天内容,全部落进攻击者的口袋。
researchers在VirusTotal上翻到了攻击者的"黑历史":V1.exe、V2.exe、V4.exe等早期测试版本。版本号跳过了V3,说明这套工具是经过迭代打磨的,不是随手写的脚本小子作品。
但代码质量暴露了真相。BRUSHWORM的配置文件解密流程堪称迷惑行为大赏:先把明文配置写到磁盘,再加密一份,最后删掉原始明文——相当于把钥匙藏在门垫下面,还留了张便签提醒小偷。
测试版本用了免费动态DNS服务,成品里没有 kill switch(自毁开关),代码混淆和加壳几乎为零。Elastic团队给出判断:作者大概率是个新手,甚至可能用AI代码生成工具写了核心逻辑,自己都没完整review过。
为什么"菜鸟级"攻击能得手
受害机构的防御盲区成了帮凶。当时他们的安全基础设施只有SIEM(安全信息和事件管理)级别的可见性,攻击发生后的取证数据严重不足,很多操作痕迹已经不可追溯。
这就像家里装了监控,但摄像头只能拍到客厅,卧室和厨房全是盲区。攻击者在盲区里搬了多久的东西,受害者到现在都说不清。
DLL侧加载(DLL side-loading)是BRUSHLOGGER的隐身术。它寄生在合法的libcurl.dll名下,Windows系统和安全软件看到熟悉的文件名,往往直接放行。这种"借壳上市"的手法不算新颖,但对缺乏深度终端检测的环境依然有效。
BRUSHWORM的U盘传播策略则瞄准了金融行业的特定场景。财务部门经常需要交换Excel报表、PDF合同、工资明细,"Salary Slips.exe"这种文件名在办公电脑上出现,很难引起警觉。一旦有人双击打开,恶意程序就获得了新的跳板。
AI写恶意代码,是趋势还是偶然
Elastic研究人员对"AI参与开发"的推测,基于几个间接证据:代码结构的不一致性、某些函数的实现方式过于"教科书"、以及明显的逻辑疏漏(比如那个明文配置文件的迷之操作)。
这不是第一次有安全团队怀疑攻击者使用AI辅助编程。2023年以来,GitHub Copilot、ChatGPT等工具生成的代码片段多次出现在恶意软件样本中,有的是完整功能模块,有的是被稍作修改后嵌入攻击链。
但"AI写的"不等于"AI自己干的"。目前的生成式AI还无法独立完成一套攻击工具的全流程开发,从C2架构设计到免杀测试,仍然需要人类决策。更准确的描述是:AI降低了入门门槛,让原本需要数月学习的技术,变成了几小时就能拼凑出的"半成品"。
这次攻击的BRUSHWORM和BRUSHLOGGER,某种程度上就是这种"半成品"的写照——功能齐全,但细节粗糙;能完成任务,但留下大量痕迹。对于防守方来说,这既是机会也是挑战:机会在于更容易检测和溯源,挑战在于攻击者的数量级可能正在膨胀。
南亚金融行业的网络威胁态势正在发生变化。传统上,针对该地区的APT攻击多由资源充足的老牌组织发起,工具精良、隐蔽性强。而这次事件显示,"低成本、高效率"的攻击模式同样能造成实质损害,尤其是当目标机构的防御成熟度不足时。
Elastic团队在报告中没有透露受害机构的具体名称和所在国家,但强调了金融行业作为攻击目标的普遍性。资金流转密集、数据价值高、合规压力重——这些特征让金融机构始终位于威胁图谱的顶端。
对于安全团队来说,这次事件的教训很具体:终端检测与响应(EDR)的覆盖比SIEM的日志收集更关键,U盘管控策略需要重新评估,而对"看起来正常"的系统文件(如libcurl.dll)的行为监控,可能是发现DLL侧加载的关键。
攻击者的技术水准或许不高,但攻击链的设计思路足够务实。当防御体系存在明显短板时,"够用就行"的攻击工具也能达成目标。南亚这家金融机构的遭遇,会迫使更多同行重新审视自己的监控盲区吗?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
