免费文件共享服务再遭滥用:恶意软件传播分析

本文分析了攻击者滥用catbox.moe等免费文件共享服务传播恶意软件的技术细节,包括高频使用的DLL文件类型、PE文件违规上传以及相关威胁指标统计。

更多免费文件共享服务遭滥用

发布时间:2025-07-16
最后更新:2025-07-16 13:00:28 UTC
作者:Xavier Mertens(版本:1)

数月前,我曾撰文讨论过被用于数据外泄的在线服务[1]。其中提到catbox.moe[2]等知名平台。最近发现某样本正试图从该网站下载载荷,经快速调查后收集到更多样本!

数据分析

我共收集了612个直连下载URL(示例:hxxps://files[.]catbox[.]moe/xxxxxx),部分高频出现的URL被多个样本重复使用:

1
2
3
4
5
6

remnux@remnux:~/malwarezoo/catmoe-research$ cat urls.txt | sort | uniq -c | sort -rn| head -10
 23 hxxps://files[.]catbox[.]moe/a1z5ds.dll
 20 hxxps://files[.]catbox[.]moe/63g8p0.dll
 16 hxxps://files[.]catbox[.]moe/h7b4e4.dll
 13 hxxps://files[.]catbox[.]moe/mqhwlv.sys
 13 hxxps://files[.]catbox[.]moe/j5s1uy.bin

文件类型统计

通过file命令分析样本类型分布,前五位均为Windows可执行文件:

1
2
3
4
5

55 PE32+ executable (DLL) (GUI) x86-64, for MS Windows
29 PE32+ executable (native) x86-64, for MS Windows
21 ASCII text, with no line terminators
20 PE32+ executable (DLL) (console) x86-64, for MS Windows
20 PE32+ executable (console) x86-64, for MS Windows

安全警示

值得注意的是,catbox.moe本应禁止PE文件上传。若企业未使用此类服务,任何相关流量都应视为可疑行为。

[1] https://isc.sans.edu/diary/Online+Services+Again+Abused+to+Exfiltrate+Data/31862
[2] https://catbox.moe/

关键词:在线文件共享
威胁指标:DLL文件、PE可执行文件、恶意载荷下载URL

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次