新的Dohdoor恶意软件,正在通过多阶段攻击链,疯狂攻击美国的学校和医疗行业
自2025年12月起,一项新发现的恶意软件活动悄然针对美国各地的教育机构和医疗机构展开。
该威胁以“UAT-10027”行动者代号追踪,部署了一个此前未知的后门“Dohdoor”,该后门结合了先进的隐身技术和多阶段传输技术,能够持续进入受害者环境。
该恶意软件的出现表明,复杂的威胁行为者正将注意力转向处理敏感个人数据但通常安全资源有限的领域。
Dohdoor 的名称部分来源于其用于与命令控制(C2)服务器通信的 DNS-over-HTTPS(DoH)技术——一种将受信任的互联网协议转变为隐蔽通信通道的方法。
通过将C2流量路由到Cloudflare加密的DNS基础设施中,该恶意软件使出站通信看起来像普通HTTPS流量,融入日常网络活动中。
威胁行为者通过使用“MswInSofTUpDloAd”和“DEEPinSPeCTioNsyStEM”等子域名来模拟合法的软件更新请求或安全检查,进一步强化了这种欺骗。
非标准顶级域名中的不规则大写——例如“。OnLiNe,“。DeSigN“和”。SoFTWARe“——帮助竞选团队绕过自动字符串匹配过滤器和阻断名单防御。
Cisco Talos分析师识别出这场持续的行动,并将其归因于UAT-10027,指出该威胁行为者滥用合法的Windows可执行文件,即所谓的“离地生活二进制”(LOLBins),将Dohdoor恶意软件侧载到被攻破的系统中。
研究人员指出,该活动的基础设施经过精心设计以避免归因,C2服务器隐藏在Cloudflare全球可信的边缘网络背后,这使得流量拦截和阻断对防御者来说极为困难。
该活动最初通过Talos观察到的可疑下载遥测数据被发现,将其与教育和医疗领域更广泛的针对性入侵模式联系起来。
最初的入侵点被认为是通过钓鱼邮件,向受害者的机器发送PowerShell脚本。
执行后,该脚本会通过编码URL从远程临时服务器下载恶意的Windows批处理文件——文件或文件。curl.exe.bat.cmd
Attack chain (Source - Cisco Talos)
攻击链(来源 – Cisco Talos)
这触发了一个精心排序的感染过程,每个阶段为下一阶段铺平道路,最大限度地减少恶意软件在任何时间点的影响力。
多阶段感染机制内幕
批处理脚本——攻击链的第二阶段——既是投放器,也是清理工具。
它首先在 或 中创建一个隐藏的工作文件夹,然后从C2服务器下载恶意DLL,并将其伪装成听起来合法的名称,比如 C:\ProgramDataC:\Users\Publicpropsys.dllbatmeter.dll
Deobfuscated Windows batch loader script (C2 URLs defanged) (Source - Cisco Talos)
Deobfuscated Windows batch loader script (C2 URLs defanged) (Source – Cisco Talos)
合法的Windows可执行文件如、、和被复制到该工作文件夹中,并通过称为DLL侧载的技术侧载和执行恶意DLL。
恶意软件运行后,批处理脚本会通过删除注册表键中的运行命令历史、清除剪贴板数据并完全删除自身来清除自己的轨迹——这种策略被称为反取证清理。
Dohdoor 激活后,通过 HTTPS 443 端口发送加密 DNS 查询解析 C2 服务器的 IP 地址,接收 JSON 响应并解析提取 IP 数据。
然后它下载加密的有效载荷,通过带有位置依赖密码的自定义XOR-SUB算法解密,然后注入合法的Windows进程,如进程空心化。
为了规避终端检测与响应(EDR)工具,Dohdoor 会修补系统调用存根,有效移除安全产品依赖的监控钩子。
强烈建议教育和医疗行业的组织屏蔽可疑的LOLBin活动,监控异常HTTPS流量,并实施能够检测DoH流量的DNS安全控制。
关于作者
评论1次
### 结论 Dohdoor通过钓鱼邮件投递PowerShell脚本,利用LOLBins进行DLL侧载,结合DoH隐蔽C2通信,最终通过进程注入和xi统调用修补维持持久化。攻击面集中在钓鱼入口、侧载链、DoH流量及EDR绕过技术。需优先监控异常HTTPS/DoH流量、LOLBins行为及隐藏目录残留。 --- ### 分析路径(Source-Sink) 1. **攻击入口(Source)** - **钓鱼邮件**:PowerShell脚本触发下载批处理文件(.bat/.cmd),源为恶意邮件附件或URL。 - **侧载链**:合法Windows二进制(如`curl.exe`)加载伪装成合法命名的恶意DLL(如`propsys.dll`)。 - **C2通信(Sink)**:DoH流量通过Cloudflare加密隧道回传数据,JSON响应携带加密指令,最终注入合法进程(如svchost.exe)。 2. **隐蔽性关键点** - **域名混淆**:子域名使用`MswInSofTUpDloAd`等混合大小写绕过黑名单,顶级域如`.OnLiNe`规避静态规则。 - **反取证行为**:删除注册表执行历史、清理剪贴板及自身脚本,减少日志残留。 - **EDR绕过**:通过修补xi统调用(如NtCreateFile)破坏监控钩子,隐藏恶意进程行为。 --- ### 验证步骤 #### L1 攻击面验证 1. **钓鱼入口检测**: ``` # 检查邮件日志中是否存在可疑附件(.ps1)或URL跳转 Get-EventLog -LogName Security -InstanceId 4688 | Where-Object { $_.Message -match "powershell" } # 检查用户下载目录或%TEMP%是否存在隐藏批处理文件 Get-ChildItem C:\Users\*\Downloads -Force | Select-String -Pattern "\.(bat|cmd)" ``` 2. **侧载DLL检测**: - 检查`ProgramData`或`Users\Public`目录是否存在可疑隐藏文件夹: ``` Get-ChildItem C:\ProgramData -Force -ErrorAction SilentlyContinue | Where-Object { $_.PSIsContainer -and $_.Name -like "$" } # 首字符$表示隐藏 ``` - 分析侧载点:检查合法二进制(如`curl.exe`)的加载DLL路径是否包含恶意DLL(如`C:\ProgramData\...\propsys.dll`)。 3. **DoH流量检测**: - 抓包过滤HTTPS流量到Cloudflare IP(172.67.170.x/173.x等)或域名: ``` # 使用Wireshark过滤:http.host contains "cloudflare-dns.com" || dns.qry.name contains "design.onLiNe" ``` - 检查DNS查询是否包含非标准TLD(如`.OnLiNe`)或混合大小写的子域。 #### L2 持久化与C2验证 1. **进程注入与内存分析**: - 使用`ProcMon`或`Volatility`检查`svchost.exe`等进程内存是否包含异常XOR/SUB加密载荷。 - 检查注册表启动项(如`HKCU\Software\Microsoft\Windows\CurrentVersion\Run`)是否残留批处理脚本路径。 2. **EDR绕过痕迹**: - 检查xi统调用表是否被修改(如`NtCreateFile`入口地址异常)。 - 搜索内存中是否存在`Cloudflare`或`DoH`相关的硬编码字符串。 --- ### 修复建议 1. **网络层防御**: - **阻断可疑DoH流量**:部署防火墙规则拦截非授权DNS请求(如1.1.1.1/1.0.0.1),强制使用内网DNS。 - **域名黑名单**:监控并阻断包含混合大小写的子域(如`[a-z][A-Z]+`)及非常见TLD(如`.DESIGn`)。 2. **主机层加固**: - **LOLBins监控**:对`curl.exe`、`rundll32.exe`等进行执行白名单限制,检测异常DLL加载路径。 - **隐藏文件检测**:定期扫描`ProgramData`、`Users\Public`目录中以`$`开头的隐藏文件夹。 3. **检测与响应**: - **行为分析**:监控批处理脚本执行后是否立即删除自身及清除注册表/剪贴板。 - **EDR规则更新**:添加检测条件: - 进程内存中检测XOR/SUB解密逻辑特征。 - 监控`NtCreateFile`等xi统调用的异常修改行为。 4. **用户培训**: - 强化钓鱼邮件识别培训,重点防范包含`*.bat`/`*.cmd`下载链接的邮件。 --- ### 缺失信息补充(若需进一步分析) 若需验证C2通信的具体协议格式: 1. 需抓取DoH请求中的JSON有效载荷结构(如C2指令字段名)。 2. 需获取恶意DLL的XOR/SUB解密密钥(可通过逆向侧载DLL或EDR内存快照提取)。