黑客用恶意软件Dropper攻击了Pale Moon存档服务器

PaleMoon 是一款基于Firefox（火狐）浏览器优化而成的浏览器，在国外相当热门，它主要是为了提升Firefox的速度而设计。但其中也添加了多种firefox扩展，以使其更美观，功能更多，也更适用于新手。

不过，Pale Moon团队今天宣布，他们的Windows存档服务器遭到攻击，黑客在2017年12月27日用恶意软件Dropper感染了Pale Moon 27.6.2及以下的所有存档安装程序。

根据Pale Moon目前的分析，浏览器的主要传播渠道不受影响：

这从未影响Pale Moon的任何主要传播渠道，并且考虑到存档版本只会在下一个发布周期发生时进行更新，任何当前版本，无论从哪里下载的，都会被感染。不过值得注意的是，只有顶级服务器上的.exe文件受到影响，存档内的文件（从安装程序、便携版本或zip的文件中提取7-zip）不会被修改。

攻击者使用脚本，将 Win32 / ClipBanker.DY Trojan 变种注入存储在服务器上的 .exe 文件，使得下载 Pale Moon 浏览器安装程序和自解压存档的用户感染恶意软件。Pale Moon团队刚刚在7月9日发现了这个安全漏洞，并立即切断了与受影响服务器（即archive.palemoon.org）的所有连接，以阻止恶意软件进一步传播给其他用户。

确切的感染日期是从受感染文件的时间戳中推断出来的：

根据受感染文件的日期/时间戳，这发生在2017年12月27日15:30左右。这些日期/时间戳可能是伪造的，但考虑到从文件中获取的备份，这可能是伪造的实际日期和时间。

由于5月26日另一起事件(可能与这次入侵有关)导致存档服务器宕机，因此Pale Moon团队无法收集有关安全事件的更多信息。

5月26日的事件导致了存档服务器的大部分数据被损坏，无法从其中启动或检索数据。同时，这也意味着当时存在的详细攻击信息的系统日志也丢失了。

从受感染文件的时间戳可以看出，攻击者使用了一个自动进程在本地感染了这些文件，该过程将大约3MB的恶意有效载荷注入到存储在受感染服务器上的每个可执行文件中。

虽然目前尚不清楚黑客用于攻击Pale Moon服务器的确切方法，但可能是通过以下途径感染的：

1.本地访问系统（物理访问）；

2.从同一节点（隔离不够）上的其他VM访问VM；

3通过不安全或被劫持的远程桌面会话（隔离不够）从同一本地子网上的其他VM访问VM；

4通过对操作系统的管理访问来访问VM文件系统。具体过程可能是在强制登录之后，通过网络，例如SAMBA / WFS（VMnet隔离不足/没有阻塞节点/ DC中的FS端口）进行的。

5.通过VM控制面板（VM提供程序的不安全控制面板）远程访问VM；

6. 所提供的Windows服务器映像（由VM提供程序预先激活或卷授权）存在问题；

为了确保安全，使用Pale Moon的用户可以通过以下步骤检查他们下载的安装程序是否被篡改，而那些下载了受感染的文件的人应该做一个完整的扫描，用杀毒软件清理你的系统，以清除这个恶意软件。

攻击中使用的恶意软件Dropper

虽然由ESET研究人员在2018年3月分析的Win32 / ClipBanker.DY变体将自动替换其受害者剪贴板中的加密货币钱包，但用于感染Pale Moon存档安装程序的ClipBanker.DY变体确实是恶意软件Dropper。

恶意软件Dropper

在恶意可执行文件启动后，此Dropper将使用的ClipBanker.DY变体（由ESET检测为MSIL / Agent.B的变体）感染受害者的计算机。 

之后，将在后台创建在启动时执行剪贴的任务，同时在前台启动Pale Moon安装程序以分散受害者的注意力，达到伪装Dropper恶意活动的目的。

虽然研究人员能够分析攻击者使用的恶意软件Dropper的行为，但是由于执行剪贴的程序可能包括反恶意软件分析和VM检测的功能，因为研究人员无法启动的恶意软件Dropper并获得有关其功能的更多信息。