Earth Preta 混合合法与恶意组件规避检测技术分析
Earth Preta 混合合法与恶意组件规避检测
趋势科技威胁狩猎团队发现 Earth Preta(又称 Mustang Panda)使用微软应用程序虚拟化注入器(MAVInject.exe)将有效载荷注入 waitfor.exe,并在检测到 ESET 杀毒软件时利用 Setup Factory 安装程序投放和执行恶意负载以实现持久化。
攻击链分析
初始恶意文件 IRSetup.exe 在 ProgramData/session 目录投放多个文件,包含合法可执行文件和恶意组件。攻击者同时执行针对泰国用户的诱饵 PDF 文件,在后台部署恶意负载时分散受害者注意力。
TONESHELL 后门技术细节
恶意 DLL 文件 EACore.dll(TONESHELL 变种)通过合法电子艺界应用 OriginLegacyCLI.exe 进行侧加载。该后门检测到 ESET 进程(ekrn.exe 或 egui.exe)时,通过 regsvr32.exe 执行 DLLRegisterServer 函数,并利用 MAVInject.exe 将恶意代码注入 waitfor.exe 进程。
异常处理机制
当未检测到 ESET 软件时,恶意代码通过 WriteProcessMemory 和 CreateRemoteThreadEx API 直接向 waitfor.exe 注入代码。
C&C 通信分析
恶意软件解密存储在.data 段的 shellcode,与 C2 服务器 www.militarytc.com:443 通信。其通信协议生成随机标识符并收集计算机名,支持反向 shell、文件删除和移动等命令功能。
归因分析
该变种采用与 Earth Preta 相似的 TTPs(鱼叉式钓鱼),使用 CoCreateGuid 生成独立存储的受害者 ID,且 C2 服务器与其他 Earth Preta 样本关联,因此以中等置信度归因于该组织。
防护建议
组织应增强监控能力,重点关注合法进程和可执行文件中的异常活动,以应对 Earth Preta 等 APT 组织不断演变的规避技术。
本文涉及技术要点:代码注入、进程 Hollowing、侧加载、C2 通信加密、异常处理机制规避检测。更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)公众号二维码
办公AI智能小助手
评论