新型病毒Nerbian利用了先进的反检测技巧
发布时间:2022-06-13 09:13:35 所属栏目:安全 来源:互联网
导读:Proofpoint发现,一种新发现的复杂的远程访问木马(RAT)正在使用COVID-19诱饵通过恶意电子邮件活动进行广泛传播,并可以通过多种功能来规避研究人员的分析或检测。 根据周三发表的一篇Proofpoint博客文章,这种被称为Nerbian RAT的新型恶意软件变体是用与OS
|
Proofpoint发现,一种新发现的复杂的远程访问木马(RAT)正在使用COVID-19诱饵通过恶意电子邮件活动进行广泛传播,并可以通过多种功能来规避研究人员的分析或检测。 根据周三发表的一篇Proofpoint博客文章,这种被称为Nerbian RAT的新型恶意软件变体是用与OS无关的Go编程语言编写的,并利用了显著的反分析和抗扭转功能。研究人员表示,Proofpoint研究人员基于恶意软件代码中的命名函数来代指该新型软件,而这一命名似乎来自小说《堂吉诃德》中的虚构地方“Nerbia”。 他们声称,Proofpoint研究人员首次观察到RAT从4月26日开始才出现在低容量的电子邮件活动中并被分发给多个行业,主要影响意大利、西班牙和英国的组织。 研究人员写道该病毒的表现形式为:这些电子邮件声称代表世界卫生组织(世卫组织)向受害人群提供有关新冠肺炎的重要信息。他们指出,这些信息实际上是对2020年疫情早期流传的类似网络钓鱼活动的倒退。 而帖子中共享的电子邮件样本则试图让他们自己看起来像是来自世卫组织的电子邮件地址,例如who.inter.svc@gmail[.]com和unceration@who-international[.]com,并用作世卫组织或世界卫生组织的主题行。这些消息包括防控COVID-19相关的安全措施,以及名称中也包含“covid19”的附件,但这些文件实际上是包含恶意宏的Word文档。 而启用该类包含宏的文档后,该文件将介绍与COVID-19安全相关的信息,特别是有关自我隔离和护理COVID-19患者的信息。研究人员写道,宏启用还刺激文档执行嵌入式宏,该宏删除执行PowerShell进程的文件,将Nerbian RAT滴管放入一个名为UpdateUAV.exe的64位可执行文件中,该文件用Go编写。 也许三阶段过程中最复杂的规避功能是滴管执行Nerbian RAT之前发生的事情。研究人员表示,滴管会对受损的主机进行全面审查,如果遇到以下的条件将会停止执行。研究人员表示,这些条件包括:系统上硬盘的大小小于一定数值,即100GB;根据WMI,硬盘的名称包含“虚拟”、“vbox”或“vmware”;查询的MAC地址返回某些OUI值;或者如果在流程列表中遇到任何逆向工程/调试程序。 如果进程列表中存在DumpIt.exe、RAMMap.exe、RAMMap64.exe或vmmap.exe内存分析/内存篡改程序,滴管也会停止执行;如果执行特定函数被视为“过长”,这表明滴管中存在的时间测量函数正在进行调试。 然而,尽管有所有这些复杂性以确保RAT在前往受害者机器的途中不会被检测到,但研究人员指出,滴管和RAT本身在装满UPX的样本之外不会发生严重的混淆——可以说这不一定是为了混淆,而是为了简单地缩小可执行文件的大小。研究人员还发现,很容易推断RAT和滴管的大部分功能,因为代码中引用GitHub存储库的字符串暴露了滴管和RAT的部分功能。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号