一个此前未知的高级持续性威胁 (APT) 组织发布了一种名为EggStreme的新型无文件恶意软件框架，针对战略组织开展了一场高度针对性的间谍活动。

EggStreme 于 2024 年初出现，它利用合法的 Windows Mail 可执行文件 (WinMail[.]exe) 来侧载恶意库，使攻击者无需将解密的有效负载写入磁盘即可实现内存中代码执行。

这种技术逃避了传统的基于文件的防御措施，并引起了敏感领域安全团队的警惕。

当通过暴露的 SMB 共享传递的登录脚本从用户的 AppData 目录执行 WinMail[.]exe 时，攻击链就开始了。

该二进制文件没有加载真正的 .NET 运行时库，而是无意中加载了包含第一阶段加载器的mscorsvc[.]dll 。

一旦加载，此DLLcmd[.]exe就会通过调用和创建到命令和控制 (C2) 服务器的读/写管道来建立反向 shell 。

然后通过劫持以提升的权限运行的 Windows 服务来协调横向移动和持久性。

Bitdefender 分析师指出，EggStreme 框架由多个紧密集成的组件组成，每个组件负责操作的不同阶段。

EggStremeLoader 注册为一项服务，它读取加密的有效载荷文件（ielowutil[.]exe[.]mui）并提取另外两层：反射加载器和核心后门代理。

通过利用反射注入到 winlogon.exe 或 explorer.exe 等受信任的进程，对手可以确保在内存中持续执行。

这种多阶段方法，每一层仅在需要时才解密和注入，使检测变得极其困难。

在最终形式中，EggStremeAgent 建立了一个基于 gRPC 的通信通道，该通道由相互 TLS 保护，并使用共享恶意证书颁发机构颁发的证书进行身份验证。

一旦后门进入内存，它的 58 个命令就可以实现远程指纹识别、文件操作、注册表操作、进程注入以及复杂的横向移动，例如 RPC 扫描和基于 WMIC 的远程进程创建。

感染机制和 DLL 侧加载

EggStreme 的初始感染利用微妙但强大的代码片段来劫持 Windows 库的搜索顺序。

通过在 WinMail.exe 中放置恶意 DLL，恶意软件会强制合法二进制文件加载攻击者控制的代码。以下是部分典型代码片段：

// Pseudo-code illustrating DLL sideloading
HANDLE hModule = LoadLibraryA("mscorsvc[.]dll");
if (hModule) {
    FARPROC pFunc = GetProcAddress(hModule, "CorBindToRuntime");
    if (pFunc) {
        pFunc();
    }
}

当 WinMail.exe 调用时LoadLibraryA("mscorsvc[.]dll")，Windows 加载程序首先搜索本地目录，查找恶意 DLL 而不是系统版本。

加载程序使用 RC4 密钥（"Cookies"）解密其有效载荷，检查磁盘上的配置%APPDATA%\Microsoft\Windows\Cookies\Cookies[.]dat，并相应地更新其内存中的 C2 列表。

初始握手包括 32 字节 RC4 加密密钥交换，确保在创建 shell 之前的完整性。

持久性是通过两种互补的方法实现的。在某些情况下，攻击者会修改 ServiceDLL 注册表值，使其HKLM\SYSTEM\CurrentControlSet\Services\<ServiceName>\Parameters指向恶意 DLL。

在其他情况下，它们替换服务二进制文件并授予权限SeDebugPrivilege，允许恶意负载在受信任的 Windows 服务的上下文中运行。

这两种方法都能确保 EggStreme 组件在每次重启时重新加载，从而保持弹性立足点。