安全公司Cybereason的一项新研究表明,威胁参与者可能会滥用Notepad++ 插件来绕过安全机制并在受害者机器上实现持久性。
该公司在周三的一份咨询中写道:“一位名为 RastaMouse 的安全研究人员能够使用开源项目Notepad++ Plugin Pack演示如何构建一个可用作持久性机制的恶意插件。”
插件包本身只是 Visual Studio 的一个 .NET 包,它提供了构建插件的基本模板。但是,高级持续性威胁 (APT) 组织过去曾利用 Notepad++ 插件进行恶意活动。
Cybereason 公告中写道:“众所周知,APT组织StrongPity会利用带有恶意可执行文件的合法Notepad++安装程序,使其在机器重新启动后仍然存在。”
这个后门使这个威胁行为者能够在机器上安装一个键盘记录器,并与C2服务器通信以发送这个软件的输出。
在他们的咨询中,Cybereason团队分析了Notepad++插件加载机制,并基于此向量起草了一个攻击场景。
使用C#编程语言,安全专家创建了一个动态链接库 (DLL),在第一次初始按下Notepad++中的任何键时运行PowerShell命令。
该公司写道:“在我们的攻击场景中,PowerShell命令将执行Meterpreter有效载荷。”
Cybereason然后以管理员身份运行Notepad++并重新运行有效负载,有效地管理以获得受影响系统的管理权限。
为了减轻这种威胁,安全专家表示,公司应该监控Notepad++的异常子进程,并特别注意外壳产品类型。
有关攻击场景的更多信息,可在此链接上找到最初的Cybereason公告。
更一般地说,插件经常被恶意行为者用作攻击媒介。例如,上周,Wordfence报告了一个名为 BackupBuddy 的 WordPress 插件中的零日漏洞,安装量为500万。