VIPERTUNNEL Python 后门通过假DLL和混淆加载器绕过检测

VIPPERTUNNEL Python 后门通过假 DLL 和混淆加载器逃避检测

执行摘要

最近记录的一场恶意软件活动正在部署一个名为 VIPERTUNNEL 的基于 Python 的后门，使用涉及假冒动态链接库（DLL）和多层混淆加载器的复杂传递链。主要目标是在被入侵主机与远程命令和控制（C2）服务器之间建立持久、隐蔽的 SOCKS5 代理隧道，使攻击者能够长期访问内部网络。使用合法系统工具和大量混淆给传统安全软件的检测带来了重大挑战。

技术分析

感染链始于一个伪装成合法 DLL 文件的可执行文件，这种技术被称为 DLL 侧加载。这个初始加载器经过大量混淆，据报道使用了商业保护器，以阻碍静态分析。其唯一功能是解密并执行嵌入在其资源中的第二阶段有效载荷。

这个第二阶段有效载荷是另一个混淆加载器，这次是用 Python 编写并使用 PyInstaller 编译成可执行文件的。这个加载器负责检索和部署最终的 VIPERTUNNEL 后门。后门本身是一个 Python 脚本，它建立与硬编码 C2 服务器的连接。成功连接后，它使用 socat（Socket CAT）网络实用程序，这是一个常见且受信任的系统管理工具，来创建反向 SOCKS5 代理隧道。这个隧道有效地将攻击者流量通过被入侵主机路由，将恶意活动与合法网络流量混合，并绕过许多网络边界防御。

入侵指标

目前没有识别出任何指标。

战术、技术与程序

威胁行为者采用多方面的方法来实现执行、防御规避和命令控制。

• T1027: 混淆文件或信息： 初始加载器使用商业打包器/混淆器。随后的 Python 加载器和最终的 VIPERTUNNEL 有效载荷也被混淆。
• T1574.002: DLL 侧加载： 攻击以伪装成 DLL 的恶意可执行文件开始，可能打算由合法应用程序加载以绕过应用程序白名单。
• T1620: 反射式代码加载： 初始加载器从内存中直接解密并执行下一阶段，避免文件系统写入。
• T1218.011: 编译的 HTML 文件（CHM）/ PyInstaller： Python 组件使用 PyInstaller 编译成独立的可执行文件，将 Python 解释器和脚本打包成一个二进制文件，使分析变得复杂。
• T1095: 非应用层协议 / T1572: 协议隧道： 核心有效载荷建立 SOCKS5 代理隧道，将 C2 流量封装在标准协议中。
• T1219: 远程访问软件： 使用 socat，一个合法的网络工具，进行隧道传输是一种利用现有资源（LotL）的形式，以避免触发安全警报。
• T1059.006: Python： 后门的核心逻辑是用 Python 实现的，Python 是一种强大且常见的脚本语言。

威胁行为者背景

VIPERTUNNEL 活动背后的特定威胁行为者仍然不明。传递链的技术复杂性——结合二进制混淆、多阶段加载器和利用现有资源技术——表明这是一个专注于隐蔽性和长期持久性的有能力的对手。最终目标似乎是在网络内建立一个可靠的立足点，用于后续活动，如数据泄露或横向移动。选择 SOCKS5 代理表明有意将被入侵主机用作更广泛网络攻击的中继。

缓解措施与建议

防御这类攻击需要一个侧重于行为和过程监控的分层安全姿态。

1. 应用程序白名单和完整性策略： 实施应用程序控制解决方案，如 Windows Defender 应用程序控制，只允许授权的、签名的可执行文件和脚本运行，阻止像初始加载器这样的未知二进制文件。
2. 增强脚本监控： 密切监控脚本宿主（python.exe, pythonw.exe）的执行和临时 Python 模块的创建。仔细审查 PyInstaller 生成的可执行文件，特别是那些启动网络实用程序的文件。
3. 网络流量分析： 监控意外的出站连接和工作站或非代理服务器上代理协议（如 SOCKS5）的使用。将网络连接与进程创建事件相关联。
4. 端点检测与响应（EDR）： 部署能够检测可疑行为链的 EDR 工具，包括反射 DLL 加载、进程挖空和 Python 进程生成 socat 或类似工具。
5. 用户和行政培训： 教育用户执行未知文件的风险，即使是那些看起来像是合法库文件（DLL）的文件。
6. 威胁狩猎： 主动寻找具有命令行参数 socat TCP-LISTEN 或 socat TCP-CONNECT 的进程，这些进程不是授权的行政活动的一部分。