作者：康安

几天前，我们发现了一次客户支持联系网络表单垃圾邮件活动，该活动传播了新分发的远程访问木马 (RAT)。 Cofense Intelligence 以“I2Parcae”的名称追踪这一新的恶意软件家族。这种 RAT 具有多种独特的策略、技术和程序 (TTP)，例如通过合法基础设施转发企业邮箱来规避安全企业邮箱网关 (SEG)、伪造验证码、滥用编码 Windows 功能硬编码以隐藏已删除的文件以及 C2 功能隐形互联网项目（I2P），一个具有端到端加密的匿名点对点网络。如果被感染，I2Parcae 能够禁用 Windows Defender、枚举帐户/组的 Windows 安全帐户管理器 (SAM)、窃取浏览器 cookie 以及远程访问受感染的主机。从该报告来看，I2Parcae 似乎是通过针对多个网站上的客户支持联系表的自动垃圾邮件进行分发的。这些消息提供了一个声称是色情内容的嵌入式链接。

I2P概述

该恶意软件示例因多种不同原因而引人注目，但其中之一是使用 I2P 进行 C2 流量。 I2P 与 Tor 一样，是一个提供匿名连接的覆盖网络。然而，Tor 比 I2P 更受欢迎。从技术上讲，I2P 与 Tor 不同，因为 I2P 使用运行 I2P 软件的计算机之间的点对点连接。相比之下，Tor 依赖于与 Tor 用户不同的专用路由节点。这使得每个 I2P 用户将其计算机用作网络上的节点，并且仅运行 I2P 软件就会从连接到托管节点的其他对等方生成大量入站和出站 I2P 流量。此外，所有 I2P 流量均由协议进行端到端加密。这两个属性使得网络流量分析特别困难。

I2P 提供类似于 Tor 的隐藏服务网站功能，这些网站（称为“eepsites”）可以通过 .i2p 顶级域名来识别。尽管 eeps 站点可以具有人类可读的域名，但最基本且可能是最常见的域名形式使用 eep 站点公钥哈希的 Base32 编码。例如，“2lyi6mgj6tn4eexl6gwnujwfycmq7dcus2x42petanvpwpjlqrhq(.)b32(.)i2p”是该恶意软件样本使用的 eep 站点。

活动特色

该活动针对各种客户支持联系表单，发送一封包含表单中提交的消息的企业邮箱。这种策略有效地允许威胁行为者使用潜在受害者拥有的合法网络或企业邮箱服务器基础设施发送包含恶意内容的消息。这种策略还将绕过许多 SEG，因为企业邮箱来自合法的基础设施。从 Cofense Intelligence 分析的样本来看，这种策略允许这些消息绕过 Cisco IronPort 和 Proofpoint。

图 1 显示了其中一封企业邮箱的示例。企业邮箱的具体结构取决于所使用的联系表单系统，但通常会包含一条短信和一个声称包含色情材料的网站的链接。

图 1：最初的企业邮箱是通过客户支持联系表发送的。

通过单击该链接，受害者会被重定向到一个声称包含色情内容链接的页面，如图 2 所示。

图 2：企业邮箱嵌入链接登陆页面。

该站点上的嵌入链接值得注意，因为它指向porn-zoo(.)sbs 而不是显示的URL。真正的嵌入链接会将受害者重定向到虚假的 CAPCHTA 页面，该页面要求他们运行已复制到剪贴板的脚本，如图 3 所示。此重定向似乎仅适用于基于 Chromium 的浏览器和用户。用其他浏览器会被重定向到色情网站。

图 3：一个虚假的验证码站点，会自动将恶意脚本复制到受害者的剪贴板，以便受害者可以执行它。

在恶意脚本执行期间，I2Parcae 被下载并在受害者的计算机上执行。一旦安装恶意软件，该脚本将打开一个色情网站的浏览器窗口，误导受害者相信该脚本是访问该网站的合法验证码。

恶意软件功能

I2Parcae 因其功能而特别隐蔽。一旦受害者执行恶意脚本，I2Parcae 将禁用 Windows Defender，为“%HOMEDRIVE%\Users\”创建 Windows Defender 排除项，并创建一个名为“Computer.txt”的文件夹。 {20d04fe0-3aea-1069-a2d8-08002b30309d}”位于 C:\Users\Public\ 中。这一点值得注意，因为“{20d04fe0-3aea-1069-a2d8-08002b30309d}”是指向内置 Windows 文件资源管理器中“我的电脑”页面的硬编码链接。尝试使用 Windows 文件资源管理器导航到这样命名的文件夹只会将用户定向到“我的电脑”页面。但是，I2Parcae 使用此文件夹来删除各种恶意 DLL、配置文件、计划任务和 I2P 安装程序包。

I2Parcae 创建两个计划任务 coomgr 和 sesctl，它们在系统启动时运行相应命名的可执行文件。这两个可执行文件的确切功能和用途尚不清楚，但调试日志表明 coomgr.exe 用于访问 Web 浏览器数据，sesctl.exe 用于访问系统信息。

主要的 I2Parcae 有效负载简称为 main.exe，似乎使用各种 DLL 模块，所有这些模块都会生成可靠且详细的日志。最值得注意的模块和提供最多日志记录的模块是 cnccli.dll，它似乎是模块 C2。其相应的配置文件似乎包含两个 C2 地址：一个 I2P 地址和一个普通的 IPv4 地址和端口。其他模块似乎包含枚举 Microsoft SAM 帐户和组 (samctl.dll)、枚举已安装程序 (prgmgr.log) 以及通过 Windows 远程桌面服务 (rdpctl.log) 建立与其他主机的连接的功能。主要有效负载通过端口 41673 监听本地主机，各个模块使用该端口进行通信。