境外网络安全研究人员详细介绍了ShadowPad的内部工作原理,称这是一个复杂的模块化后门,并诬称近年来已被越来越多的“中国APT组织”采用。
Secureworks的研究人员在一份报告中说:“ShadowPad是使用自定义解密算法在内存中解密的,ShadowPad提取关于主机的信息,执行命令,与文件系统和注册表交互,并部署新的模块以扩展功能。”
ShadowPad是一个模块化恶意软件平台,与PlugX恶意软件有明显的重叠,并已被用于针对NetSarang、CCleaner和ASUS的高调攻击,导致运营商转变策略并更新其防御措施。
虽然最初提供ShadowPad的活动被归咎于一个被追踪为Bronze Atlas aka Barium的威胁集群——一家名为成都404的网络安全公司工作——但它在2019年后被多个威胁组织使用。
在2021年8月对该恶意软件的详细概述中,网络安全公司SentinelOne将ShadowPad称为“中国间谍活动中私人出售的恶意软件的杰作”。普华永道在2021年12月进行的后续分析披露了一种定制的打包机制——名为ScatterBee——用于混淆ShadowPad二进制文件的恶意32位和64位有效负载。
传统上,恶意软件的有效载荷被部署到主机上,要么在DLL加载器中加密,要么与DLL加载器一起嵌入到一个单独的文件中,然后使用针对恶意软件版本的定制解密算法在内存中解密并执行嵌入式ShadowPad有效载荷。
这些DLL加载程序在被易受DLL搜索顺序劫持的合法可执行文件侧载后执行恶意软件,该技术通过劫持用于查找所需DLL以加载到程序中的方法来允许执行恶意软件。
Secureworks观察到的一些感染链还涉及到包含加密的ShadowPad有效载荷的第三个文件,这些文件通过执行合法的二进制文件(如BDReinit.exe或Oleview.exe)来侧载DLL,而DLL反过来又会加载和解密第三个文件。
或者,攻击者将DLL文件放在Windows/System32目录中,以便由远程桌面配置(SessionEnv)服务加载,最终导致在受感染系统上部署Cobalt Strike。