自2018年8月以来，安全研究人员一直在监控名为Rietspoof的新恶意软件家族。Rietspoof是一种新的多阶段恶意软件，具有一些与众不同的特性和功能。当最初开始跟踪Rietspoof时，它会每个月更新一次。但是，在2019年1月，研究人员注意到更新频率变为每日一次。也许，可以认为是该恶意软件开始活跃的迹象。

Rietspoof在多个阶段，结合各种文件格式，提供更多样化的恶意软件。研究数据表明，其第一阶段是通过即时消息客户端（如Skype或Live Messenger）分发的。它提供了一个高度混淆的Visual Basic脚本，其中包含一个硬编码和加密的第二阶段——一个CAB文件。CAB文件扩展为可执行文件，该文件使用有效签名进行数字签名，主要使用Comodo CA。最后， .exe文件在第四阶段安装一个下载程序。

VBS反混淆&嵌入式文件

Visual Basic脚本的第一部分是用于读取和反混淆嵌入式二进制文件的函数。

从上图中可以看出，脚本开始读取特定偏移量处的代码，并对CAB文件进行反混淆处理并为下一阶段做准备。该代码将逐字符转换为其ANSI值并添加到计数器变量中。在每一步，计数器都是带有val_01(硬编码到15)的XORed，并附加到已解码的字节。有趣的是，字符串var_str_01也会附加到var_str_02。

在此步骤后，var_str_02  将用作新函数的参数。第二个参数是TempPath，文件名如下：

在此阶段，CAB文件将以“JSWdhndk.sjk”作为文件名保存到计算机的Temp文件夹中。接下来的阶段需要从中提取，通过expand.exe来完成：

添加持久性

在新版本的VBS中，恶意软件作者从2019年1月22日起为其持久性添加了一个新功能。该脚本在启动时创建一个名为WindowsUpdate.lnk的新LNK文件。此lnk文件在启动后运行一个扩展PE文件，以确保在重新启动计算机时可执行文件的运行。

签名证书

几乎每个版本的VBS文件都包含一个新证书，例如：

当我们简单地将这个代码块从base64转换为十六进制，然后解析此ASN.1十六进制字符串时，能够获取该证书的序列号：

大多数证书由COMODO或Sectigo颁发

投放BOT有效负载

Rietspoof的第三阶段是投放可供恶意软件作者使用的BOT有效负载，用于启动受感染设备上的进程、下载和上传文件，以及发送自毁命令。

虽然BOT有效载荷并没有明显异常的功能，但在其连接至命令和控制（C2）服务器后，会显示一种特性：

C2服务器似乎能够识别基于IP地址的基本地理位置。当研究人员尝试以实验室网络与它进行通信时，没有收到任何“有趣”的命令。然而，当使用美国IP地址时，却收到了下一阶段命令。

Rietspoof的第三个感染阶段还具有另一个特性：恶意软件作者频繁更新，似乎还有多个版本在运行，添加并删除通信混淆功能。并且，BOT至少使用了两个版本的C2通信协议。

BOT通信流程

下载器

第四阶段视图通过TCP上的NTLM协议建立一个经过身份验证的信道，其C2协议的IP地址是硬编码的。

启动NTLM身份验证

认证并从C2服务器接收数据

最后，Rietspoof通过上述通道与C2服务器进行通信，目的是恢复另一个阶段或可能的最终有效载荷。

总结

如上所述，新恶意软件Rietspoof在2019年1月期间的活动大幅增加。在此期间，开发人员使用了几个有效的证书来签署相关文件。此外，恶意有效载荷也经历了不断开发，即对第三阶段通信协议的实现进行了多次修改。虽然关于Rietspoof的信息有很多，但其动机和运作方式以及感染链仍然未知。迄今为止，大多数防病毒软件很少检测到受此恶意软件感染的文件。

但有些事情是显而易见的：此恶意软件背后的威胁行为者正在加快其开发和部署速度，添加新功能并频繁更新。未雨绸缪，及时采取必要的预防措施显得尤为重要。