近日，研究人員發(fā)現(xiàn)了一種新型惡意軟件系列，通過Microsoft Graph API利用Microsoft Outlook作為通信渠道。這一復雜的惡意軟件包括一個自定義加載程序和一個后門，分別被稱為PATHLOADER和FINALDRAFT。根據(jù)其復雜性和長期運行的特點，該惡意軟件主要被用于網(wǎng)絡間諜活動。

惡意軟件的核心組件

(1) PATHLOADER：輕量級加載程序

PATHLOADER是一個輕量級的Windows可執(zhí)行文件，用于從外部基礎設施下載并執(zhí)行加密的shellcode。為了避免靜態(tài)分析，它使用了Fowler-Noll-Vo哈希函數(shù)進行API哈希處理，并將配置嵌入到.data部分中，其中包括C2（命令與控制）設置。研究人員發(fā)現(xiàn)，PATHLOADER使用字符串加密來混淆其功能，這使得分析人員難以追蹤其控制流。

此外，PATHLOADER通過使用GetTickCount64和Sleep方法，避免了在沙箱環(huán)境中立即執(zhí)行。隨后，它通過HTTPS GET請求從預配置的C2域名下載shellcode。

(2) FINALDRAFT：數(shù)據(jù)竊取與進程注入

FINALDRAFT是一個用C++編寫的64位惡意軟件，主要專注于數(shù)據(jù)竊取和進程注入。它使用Microsoft Graph API與其C2服務器進行通信。惡意軟件通過存儲在配置中的刷新令牌獲取Microsoft Graph API令牌，并在令牌有效期間重復使用。

FINALDRAFT通過在Outlook中創(chuàng)建會話郵件草稿與C2服務器通信。這些郵件的內(nèi)容經(jīng)過Base64編碼，但未進行AES加密。命令會被處理，響應則寫入新的郵件草稿中。

通信協(xié)議與關鍵功能

通信協(xié)議的核心是創(chuàng)建一個會話郵件草稿（如果不存在）。每個處理后的命令都會將響應寫入郵件草稿中。會話數(shù)據(jù)結(jié)構(gòu)包括會話ID和構(gòu)建編號。

FINALDRAFT通過檢查郵件草稿中的最后五個C2命令請求郵件來填充命令。讀取請求后，這些郵件會被刪除。惡意軟件注冊了37個命令處理程序，主要涉及進程注入、文件操作和網(wǎng)絡代理功能。一些關鍵命令包括：

• GatherComputerInformation：收集并發(fā)送受害機器的信息。
• StartTcpServerProxyToC2：啟動一個TCP服務器代理，連接到C2服務器。
• DoProcessInjectionSendOutputEx：注入到正在運行的進程中并發(fā)送輸出。

如何防御此類威脅

利用Microsoft Graph API進行C2通信的行為凸顯了采取增強安全措施的迫切性。為抵御像FINALDRAFT這樣復雜的惡意軟件威脅，組織應定期監(jiān)控Microsoft Graph API的使用情況，以發(fā)現(xiàn)任何可疑活動，并實施嚴格的訪問控制，限制對Outlook和API的訪問，僅允許必要人員使用。

此外，部署高級端點安全解決方案有助于檢測和阻止惡意軟件的執(zhí)行，而定期進行安全審計則可確保潛在漏洞得到識別和修復。這些主動措施將顯著增強組織的安全態(tài)勢。