新型病毒Nerbian使用了先进的反检测方法
发布时间:2022-06-08 15:11:59 所属栏目:安全 来源:互联网
导读:Proofpoint发现,一种新发现的复杂的远程访问木马(RAT)正在使用COVID-19诱饵通过恶意电子邮件活动进行广泛传播,并可以通过多种功能来规避研究人员的分析或检测。 而帖子中共享的电子邮件样本则试图让他们自己看起来像是来自世卫组织的电子邮件地址,例如who
Proofpoint发现,一种新发现的复杂的远程访问木马(RAT)正在使用COVID-19诱饵通过恶意电子邮件活动进行广泛传播,并可以通过多种功能来规避研究人员的分析或检测。 而帖子中共享的电子邮件样本则试图让他们自己看起来像是来自世卫组织的电子邮件地址,例如who.inter.svc@gmail[.]com和unceration@who-international[.]com,并用作世卫组织或世界卫生组织的主题行。这些消息包括防控COVID-19相关的安全措施,以及名称中也包含“covid19”的附件,但这些文件实际上是包含恶意宏的Word文档。 而启用该类包含宏的文档后,该文件将介绍与COVID-19安全相关的信息,特别是有关自我隔离和护理COVID-19患者的信息。研究人员写道,宏启用还刺激文档执行嵌入式宏,该宏删除执行PowerShell进程的文件,将Nerbian RAT滴管放入一个名为UpdateUAV.exe的64位可执行文件中,该文件用Go编写。 研究人员指出,Go语言正在成为威胁行为者使用的越来越受欢迎的语言,这可能是因为它的进入壁垒较低,易用性也很大。 复杂性和规避 研究人员写道,Nerbian RAT恶意软件利用了分布在几个阶段的多个反分析组件,包括多个开源库。事实上,恶意软件表现出其具有复杂性,并会在三个不同的阶段工作。首先它通过网络钓鱼传播的恶意文档开始,然后如上所述转到UpdateUAV.exe滴管,滴管在执行Nerbian RAT之前执行各种环境扫描,例如反扭转和反VM检查。 极端审查 也许三阶段过程中最复杂的规避功能是滴管执行Nerbian RAT之前发生的事情。研究人员表示,滴管会对受损的主机进行全面审查,如果遇到以下的条件将会停止执行。研究人员表示,这些条件包括:系统上硬盘的大小小于一定数值,即100GB;根据WMI,硬盘的名称包含“虚拟”、“vbox”或“vmware”;查询的MAC地址返回某些OUI值;或者如果在流程列表中遇到任何逆向工程/调试程序。 然而,尽管有所有这些复杂性以确保RAT在前往受害者机器的途中不会被检测到,但研究人员指出,滴管和RAT本身在装满UPX的样本之外不会发生严重的混淆——可以说这不一定是为了混淆,而是为了简单地缩小可执行文件的大小。研究人员还发现,很容易推断RAT和滴管的大部分功能,因为代码中引用GitHub存储库的字符串暴露了滴管和RAT的部分功能。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |