Proofpoint研究人员正在跟踪地下市场上的远程访问木马(RAT),到目前为止,这只是一个小型的恶意电子邮件活动,发现者命名为“Parasite HTTP”。然而,研究人员发现它的功能列表复杂而令人印象深刻,这引发了人们对它潜在攻击性的担忧。
暗网上恶意软件Parasite HTTP的广告中写道:“Parasite HTTP是一种专业编码的模块化远程管理工具,用于以C语言编写的Windows,除了操作系统本身之外没有依赖关系。存根大小约为49kb,支持插件,是远程控制大量计算机的完美解决方案。”广告宣传它可以绕过防火墙,可选的系统范围持久性和注入系统进程白名单等功能。而且,与合法软件一样,Parasite HTTP包含用户管理方面,比如C2通信、备份、分析视图和活动统计信息的特色加密、带有验证码的安全登录页面、高级任务管理系统和密码恢复。它真正的亮点是沙箱检测、反调试、反仿真和其他保护,以逃避检测和分析。
研究者指出,威胁行为者和恶意软件作者不断创新,以逃避防御并提高感染率。Parasite HTTP提供了许多用于避免沙箱检测和通过自动反恶意软件系统检测的最新技术示例。恶意软件在本质上也是模块化的,允许参与者在可用时添加新的功能,或者在感染后下载其他模块。
根据Proofpoint的说法,“RAT聚集”的垃圾邮件活动相当直接。它针对IT、医疗保健和零售行业,使用人力资源分发列表和Word文档附件,声称是简历和简历。打开后,文档使用武器化宏从远程站点获取Parasite HTTP。研究人员认为,虽然攻击媒介很常见,但是安全社区应该注意Parasite HTTP。他们写道:“对于消费者,组织和维护者来说,这代表持续恶意软件军备竞赛的最新升级,甚至延伸到了商品恶意软件。虽然我们目前只在一个小型广告系列中观察过Parasite HTTP,但我们希望看到Parasite中使用的功能继续传播到其他恶意软件变体中。”
最先进的逃避技术
研究人员详细介绍了几种Parasite HTTP最有趣的逃避属性:混淆的字符串、通过睡眠操纵的沙箱逃避、使用Github的研究员代码进行沙箱检测等。
当提到到混淆的代码字符串时,Parasite HTTP包含四个例程,前面是一个6字节的标头。每种类型的字符串,ASCII或Unicode,一个变体留下混淆的字符串,并返回一个动态分配,去混淆的字符串版本。另一个变体使用VirtualProtect对字符串进行混淆处理,在执行反混淆后将XOR键设置为0,这有效地在将来访问字符串时跳过了去混淆。
Parasite HTTP还使用睡眠例程来延迟执行并检查沙箱或模拟。它以10毫秒的间隔睡眠,同时通过检查时间的流逝并且不干扰其自身的断点指令处理来检测沙箱环境。研究人员解释说:“沙盒检查程序……检查是否在900毫秒到两秒之间以响应该程序的一秒睡眠,并将其分为10ms增量。使用类似[Github]中可用的代码的沙箱,会与这个特殊的沙箱检查发生冲突。”
Parasite HTTP从Github调整代码以适应其自身的沙箱检测目的。该代码逐字复制,API分辨率被自己的内部代码替换,打印文件被删除,并随机生成文件和环境变量名称。同时,当Parasite HTTP确实检测到沙箱时,它不会产生任何可能使研究人员感到意外的举动。它不会简单地退出或抛出错误,而是让研究人员难以确定恶意软件无法正常运行和崩溃的原因。Parasite HTTP以一种聪明的方式使用沙箱检测,试图使用跳过分配的缓冲区,从而导致以后的崩溃。
同时,Parasite HTTP通过使用DLL重映射技术隐藏行为注入等行为来解析某些关键API。在初始过程中,Parasite HTTP通过从磁盘读取它们并将每个导出函数的前五个字节与内存中当前映射版本中存在的函数进行比较来删除上述DLL上的挂钩。这让它的活动难以被察觉。
“尽管这种技术在实现上很‘幼稚’,没有使用任何指令解码器并将其自身限制在五个硬编码字节,但它在实践中是有效的。映射NTDLL的新副本有效地为它提供了一个副本,没有放在初始NTDLL映射上的任何钩子,使得它的线程注入和注册表修改甚至连接实现对大多数用户不可见。此外,由于这种映射是通过NtOpenSection和NtMapViewOfSection完成的,因此它不会涉及对该技术的其他变体使用典型的文件系统API的调用实现相同的目标。”
最后,它使用来自GitHub的附加代码,对关键函数中的断点进行了模糊检查。此功能仅用于在一个位置检查恶意软件中调用沙箱检测的单个功能。值得注意的是,这种技术对于任意代码来说是天真和不可靠的,因为无意的0xcc字节可以通过特定的指令编码、本地堆栈帧偏移、相对引用、间接地址或直接常量来实现。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。