潜伏四年，借助PRISM后门的攻击者

AT&T 的安全研究人员最近发现了一组隐蔽性极强的 ELF 可执行文件，它们在 VirusTotal 上的杀软检出率很低或为零。在分析样本后，AT&T 已将它们确定为多个攻击者在多次攻击行动中使用的开源 PRISM 后门的修改版。

深入分析了使用这些恶意软件的攻击活动，在长达三年半的时间内这些攻击者仍然保持活跃。最早的攻击行动中的样本出现在 2017 年 11 月 8 日。

WaterDrop 分析

WaterDrop 的变种很容易识别，它包含一个名为 xencrypt的函数，该函数使用硬编码的单字节 0x1F密钥执进行异或加密。从 WaterDrop 变种的第 7 版开始，恶意样本也包含纯文本字符串 WaterDropx vX started，其中 X 是恶意样本的版本号。到目前为止，已经观察到版本 1、2.2 和 3 使用 PRISM 命名，而版本 7、9 和 12 被命名为 WaterDropx。

WaterDrop 使用 agent-waterdropx作为 User-Agent 进行 HTTP 协议的 C&C 通信，C&C 使用 waterdropx.com 域名的子域名。ASP站长网

尽管这些都是非常明显的特征，但攻击者仍然保持了在 VirusTotal 上极低的检出率，这可能是因为攻击行动的规模较小。

攻击者在 2017 年 8 月 18 日注册 waterdropx.com 域名。截至 2021 年 8 月 10 日，该域名仍在使用。

除了 PRISM 的基本功能外，WaterDrop 还额外引入了异或加密与定期轮询 C&C 服务器的功能。

（编辑：焦作站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!