关键词

木马病毒

新型变种技术特征分析
安全研究人员发现,ACRStealer信息窃取木马近期出现重大技术迭代。该恶意软件通过"死投解析器"(DDR)技术,将谷歌文档服务(Google Docs)与Steam游戏平台作为命令控制(C2)中转节点,实现了前所未有的隐蔽通信能力。与依赖传统C2服务器的恶意软件不同,该变种将指令报文伪装成正常平台交互数据,使得网络流量监控系统难以有效识别。

多层级规避技术突破

  1. 底层通信架构

    :弃用标准HTTP库,直接调用Windows AFD驱动接口(如NtCreateFile/NtDeviceIoControlFile),规避基于应用层流量分析的检测方案

  2. 天堂之门(Heaven's Gate)技术

    :通过动态切换x86/x64执行模式干扰分析工具,尤其针对企业级EDR系统的内存扫描机制

  3. 合法平台滥用

    :利用Google Docs的文档注释功能及Steam社区动态栏作为指令载体,将加密命令隐藏在看似正常的用户生成内容中

攻击链演化趋势
ASEC监测显示,攻击者自2024年初持续优化载荷投递方式:

  • 初始传播渠道:钓鱼邮件附件的ISO镜像文件(伪造成发票文档)

  • 持久化机制:通过Windows计划任务植入伪装成显卡驱动的DLL侧加载组件

  • 数据渗出路径:先压缩加密目标文档,再分流上传至MEGA等云存储平台

防御建议

  1. 启用网络流量深度检测规则,重点关注Google Docs API调用中的异常长连接

  2. 在终端安全策略中限制进程对AFD驱动的直接调用行为

  3. 对Steam客户端进程的网络连接实施应用白名单管控

  4. 部署具备WoW64进程监控能力的行为分析工具,识别天堂之门技术特征码

事件影响评估

该变种标志着网络犯罪团伙对"生活化平台武器化"策略的成熟应用。通过滥用日均访问量超20亿次的合法服务,攻击者不仅大幅降低C2基础设施成本,更使得防御方面临误伤正常业务流量的两难选择。目前已有金融、跨境电商行业企业报告相关入侵指标(IoC),建议立即核查网络日志中是否存在下列异常模式:

api.steampowered.com/IEconItems*/comment  
docs.google.com/document/d/*/review  

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!