研究人员发现了一种新型后门恶意软件,使用Go语言编写,并利用Telegram作为其命令与控制(C2)通信渠道。尽管该恶意软件似乎仍处于开发阶段,但它已经具备完整的功能,能够执行多种恶意活动。这种创新的C2通信方式——利用Telegram等云端应用程序——为网络安全防御者带来了重大挑战。
恶意软件概述
该恶意软件采用Go语言编译,执行后作为后门程序运作。启动时,它会进行初步的自我安装,检查是否从特定路径运行:C:\Windows\Temp\svchost.exe。如果不是,它会将自身复制到该位置,重新启动新实例,并终止原始进程。这一自我安装步骤在调用恶意软件的主函数之前通过初始化函数完成。
与Telegram的交互
该恶意软件使用了一个开源的Go包与Telegram进行交互。它通过NewBotAPIWithClient函数,利用Telegram的BotFather功能生成的令牌创建了一个机器人实例。分析样本中包含的令牌为8069094157:AAEyzkW_3R3C-tshfLwgdTYHEluwBxQnBuk。通过GetUpdatesChan函数,恶意软件持续监控一个通道,以接收操作者发送的命令。
目前,该后门支持四条命令,其中三条已完全实现:
- /cmd:通过Telegram接收并执行PowerShell命令。
- /persist:在指定目录重新启动自身(
C:\Windows\Temp\svchost.exe)。 - /screenshot:尚未完全实现,但会发送一条占位符消息,表明已截取屏幕截图。
- /selfdestruct:删除自身并终止其进程。
命令输出通过加密函数发送回Telegram频道。例如,在执行/cmd时,恶意软件会提示攻击者(以俄语)输入PowerShell命令,随后以隐藏模式执行。
防御的挑战与应对
利用Telegram等云端应用程序作为C2通信渠道,增加了检测的难度。这些平台为攻击者提供了易于使用的基础设施,同时将恶意活动与合法的API使用混为一谈。其他云应用程序如OneDrive、GitHub和Dropbox也可能被类似方式利用,使得防御者更难区分合法流量与恶意流量。
Netskope高级威胁防护系统已将这种威胁标识为“Trojan.Generic.37477095”并主动检测。该公司强调,监控此类不断演变的威胁并相应调整防御策略至关重要。
这种基于Go语言的恶意软件凸显了攻击者如何利用云应用程序绕过传统检测机制。通过利用Telegram等平台进行C2通信,攻击者简化了操作,同时增加了防御的复杂性。Netskope威胁实验室表示,将继续监控该后门的发展及其相关的战术、技术和程序(TTPs)。
有关更多技术细节和攻击指标(IOCs),Netskope已在其GitHub存储库中提供了相关数据。