木馬程式再進化！PikaBot可執行多樣化惡意指令

編譯／陳佩君

在2023 年初首次被發現一款新型的惡意木馬程式—Pikabot。研究人員剖析Pikabot新型模組化木馬程式發現，其可執行多樣化的惡意指令，並與QakBot 木馬程式有相似之處，包括傳播方式。

Pikabot是透過後門運行，由「載入程式」（Loader）和「核心模組」（Core Module）兩個主要模組件組成，允許對受感染系統進行未經授權的遠端控制，而Pikabot還從指令與控制伺服器（Command and Control server，C2）接收指令，範圍從注入任意 shellcode、DLL 或可執行文件到分發其他惡意工具（如 Cobalt Strike）。

其操作模式在執行後，Pikabot會部署一個載入程式來運行反向分析測試，以在注入核心模組有效負載之前檢查偵錯工具（Debugger）、斷點（Breakpoint）和系統資訊。核心模組被加密並儲存在注入特定進程（例如WerFault）的PNG圖像中，Pikabot設定特殊符號標示以保護注入的進程不受未經微軟簽署的二進位檔案（Binary File）影響。如系統的語言是喬治亞語、哈薩克語、烏茲別克語或塔吉克語，該木馬將自動停止運作。

而PikaBot和Matanbuchus木馬程式之間存在顯著相似之處，兩者都是使用 C∕C++ 編寫，使用JSON+Base64+加密進行流量控制，採用核心模組分割，並廣泛使用硬編碼字串（hard-coded strings），其直接在程式碼中明確指定字串值，而不是從外部來源（如使用者輸入或配置文件）動態獲取的字串。此外，兩個惡意木馬系列都使用JSON、Base64程式碼和加密方法進行網路通訊，由這些相似之處強烈暗示這兩個惡意木馬群體之間可能存在潛在聯繫。

在2023年6月更新中，研究人員檢測到兩個與PikaBot連接新C2伺服器有關。然而，這種木馬似乎處於初期開發階段，未來可能會擴大其攻擊範圍。為了保持安全，企業、組織與個人必須安裝必要的檢測工具，能在初始階段就清除相關的惡意木馬程式。

資料來源：Cyware.com

瀏覽 877 次