北京
周三下午,某公司员工收到一封看似平常的商务邮件。附件是个ZIP压缩包,里面是份"合同文档"的快捷方式。双击、等待、没反应——他以为是文件损坏,其实窃密程序已在后台跑完了一整套流程。等他发现邮箱被盗、加密货币钱包被清空时,攻击者早把数据卖了三轮。
这不是普通的钓鱼。Genians安全中心最新追踪到的这轮Vidar Stealer攻击,核心卖点就一个字:静。它能在现代终端检测与响应(EDR)系统的眼皮底下完成全套操作,受害者往往在凭据泄露后数周才察觉异常。
Vidar这名字在地下市场不算新鲜。2018年从Arkei窃密木马分叉出来,六年迭代下来,它早已不是当年那个只会偷浏览器密码的小角色。现在的版本能扒光Chrome、Edge、Firefox的登录态和Cookie,能翻遍本地存储的自动填充信息,能把MetaMask这类钱包的密钥文件打包带走,还能顺手薅走各类身份验证令牌。对攻击者来说,这是一台全自动的"数字身份收割机"。
但本轮攻击的真正升级不在功能列表,而在"隐身"能力。传统EDR靠两条路抓木马:一是静态签名,看文件哈希或代码特征;二是行为监控,看进程有没有异常操作。Vidar的新变种把这两条路都堵死了。
第一层堵的是静态分析。攻击链分多个阶段投递,每个阶段的命令都用环境变量做混淆。具体来说,恶意指令被拆成字符碎片,分别塞进不同的环境变量里。程序运行时才把这些碎片拼起来执行,静态扫描工具看到的只是一堆无意义的字符串片段,拼不出完整意图。
第二层堵的是行为检测。完整命令字符串在内存里从不以明文形式出现,EDR的行为分析引擎被迫逐段评估每个片段,无法识别整体恶意模式。更棘手的是,后续payload的下载用的是Windows自带的curl.exe——系统原生工具,合法签名,正常网络行为。这种"就地取材"(Living-off-the-Land)的手法让流量层面的异常检测几乎失效。
初始入侵的钓鱼邮件也做了精细化打磨。不是广撒网的"恭喜中奖",而是针对收件人职业背景和兴趣点定制的 spear-phishing。ZIP附件里的Windows快捷方式文件(.lnk)伪装成工作文档,双击后后台静默触发混淆命令,用户端零感知。
对依赖传统特征码检测的企业来说,这套组合技尤其危险。木马活动混在正常系统行为里,没有明显的外联C2域名,没有可疑的进程注入,连下载工具都是系统自带的。等签名库更新、威胁情报同步到位,攻击者早已完成数据窃取并清理痕迹。
目前公开的技术细节到Python Embed包下载环节后中断,后续持久化和数据外传机制尚未完全披露。但已曝光的攻击链足以说明:EDR不是万能盾牌,环境变量混淆+原生工具滥用+社会工程的三位一体,正在把终端防护的对抗门槛抬到新的高度。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
