Trojan:Win32/Malgent

發佈日期：2021年9月30日 |更新日期：2026年2月4日

威脅行為

Trojan:Win32/Malgent 的感染過程始於一種稱為 DLL 側負載的技術。在這種情況下，攻擊者透過 LinkedIn 或 WhatsApp 等社群平台傳播 ZIP 壓縮套件。這些文件偽裝成 Sumatra PDF 或 Google IAP Desktop 等軟體的合法安裝程序，或與招募資訊相關的文件。當使用者啟動 Malagent 二進位時，它會觸發一個合法應用程式載入一個預先放置在同一目錄下的惡意 DLL 檔案；該 DLL 檔案會劫持受信任的進程。隨後，攻擊會經歷多個階段。

首先，在啟動和記​​憶體注入階段，Malagent 會將一個輔助 DLL 直接部署到裝置記憶體中，以避免在磁碟上建立可偵測的檔案；該 DLL 可作為主要後門。為了確保持久性，它會透過建立排程任務或修改 Windows 登錄中的自動啟動項目來確保重新啟動後仍然存在。命令與控制 (C2) 通訊透過標準的 HTTP 或 HTTPS 協定進行，以接收來自攻擊者的指令，通常使用劫持的合法網站作為代理來偽裝流量。

有助於識別入侵的關鍵指標 (IoC) 包括特定丟棄的文件，例如 Wdscore.dll、修改過的 libmupdf.dll、Google.Solutions.IapDesktop.Application.dll，或 位於非標準路徑（例如 %AppData% 或 %Temp%）中的 server.exe和 svchost.exe 。登錄項目通常會被修改以實現持久化，包括 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的路徑，以及 COM 劫持項，例如HKCU\Windows\CurrentVersion\Run下的路徑，以及COM劫持項，例如 HKCU\Windowsware\Innvul網路指標包括歷史 IP 位址，例如 103[.]207.85[.]8、62[.]204.41[.]189 和 172[.]115.177[.]224，以及使用類似於受信任網站的拼字錯誤網域。

預防

在受管環境中實施攻擊面縮減 (ASR) 規則。有效的規則包括阻止 Office 應用程式建立子進程，以及阻止可執行檔案運行，除非它們滿足特定的普遍性、建立時間或信任清單標準。

避免從非官方的種子網站或免費軟體網站下載破解軟體、金鑰產生器或工具，因為這些是此類惡意軟體的常見傳播途徑。

對於透過即時通訊應用程式或電子郵件收到的未經請求的 ZIP 或 PDF 文件，即使寄件者看起來像是已知的聯絡人或招募人員，也務必格外謹慎對待。

定期為 Windows 和所有第三方應用程式（尤其是像 PDF 閱讀器這樣經常成為 DLL 劫持攻擊目標的應用程式）打補丁。