研究人员发现一种新型逃避型恶意软件Beep

Minerva 的研究人员最近发现了一种名为 Beep 的新型逃避型恶意软件,它实施了许多反调试和反沙盒技术。

Beep 这个名字来自于通过使用 Beep API 函数延迟执行所涉及的技术。

专家们注意到几个新样本以 .dll、.gif 或 .jpg 文件的形式上传到 VirusTotal (VT)。这些样本被 VT 标记为“spreader”和“detect-debug-environment”,并用于投放额外的有效攻击载荷。  

“一旦我们深入研究了这个样本,我们就观察到了大量反检测技术的使用。似乎这个恶意软件的作者正在尝试实施他们能找到的尽可能多的反调试和反 VM(反沙盒)技术。”阅读专家发表的分析。“其中一种技术涉及通过使用Beep API 函数延迟执行,因此是恶意软件的名称。”

在执行反调试和反虚拟机检查后,恶意软件植入程序会创建一个新的Windows注册表项并执行存储在该项的值(名为“AphroniaHaimavati”)中的Base64编码的PowerShell脚本。

反过来,PowerShell脚本从远程服务器检索注入器,该注入器使用Process Hollowing注入技术提取并启动有效负载。

攻击链以在受害者系统上放置一个信息窃取器结束,它支持多个命令,其中一些尚未实现,包括:

  • balancer – not implemented yet. 
  • init – not implemented yet. 
  • screenshoot – appears to collect the process list. 
  • task – not implemented yet. 
  • destroy – not implemented yet. 
  • shellcode – executes additional shellcode. 
  • dll – executes a dll file. 
  • exe – executes a .exe file. 
  • Additional – collects additional info. 
  • knock_timeout – changes C&C “keep-alive” intervals. 

专家指出,一旦 Beep 恶意软件感染了系统,它就可以用来传播范围广泛的额外恶意负载和黑客攻击,包括勒索软件。

“新的 Beep 恶意软件逃避检测的努力使其有别于其他恶意软件。它为避免沙箱、虚拟机和其他调试技术而实施的大量躲避技术并不常见。”总结报告,其中还包括针对这一新兴威胁的IoC。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4059.html

标签