研究人员揭示了CatB勒索软件的规避技术

据观察，CatB 勒索软件操作背后的威胁行为者使用一种称为DLL劫持的技术来逃避检测并启动有效负载。

CatB，也称为CatB99和Baxtoy，于去年年底出现，据说是基于代码级相似性的另一种勒索软件Pandora的“进化或直接更名”。

值得注意的是，Pandora的使用归因于Bronze Starlight（又名DEV-0401或Emperor Dragonfly），这是一个总部位于中国的威胁组织，众所周知，它使用短命的勒索软件家族作为可能隐藏其真实目标的诡计。

CatB的一个关键定义特征是它依赖于通过称为Microsoft分布式事务处理协调器 ( MSDTC)的合法服务劫持DLL来提取和启动勒索软件负载。

SentinelOne研究员Jim Walter在上周发布的一份报告中表示：“在执行时，CatB有效载荷依靠 DLL 搜索顺序劫持来投放和加载恶意有效载荷。”“投放器(versions.dll)将有效负载(oci.dll)投放到System32目录中。”

植入程序还负责执行反分析检查以确定恶意软件是否在虚拟环境中执行，并最终滥用MSDTC服务在系统重启时将包含勒索软件的流氓oci.dll注入msdtc.exe可执行文件中.

“更改的[MSDTC]配置是服务应在其下运行的帐户名称，从网络服务更改为本地系统，以及服务启动选项，如果重新启动，从需求启动更改为自动启动以实现持久性发生了，”Minerva Labs研究员Natalie Zargarov在先前的分析中解释道。

该勒索软件的一个显着特点是它没有勒索字条。相反，每个加密文件都会更新一条消息，敦促受害者进行比特币支付。

另一个特征是恶意软件能够从网络浏览器Google Chrome、Microsoft Edge（和 Internet Explorer）和Mozilla Firefox收集敏感数据，例如密码、书签、历史记录。

“CatB加入了一长串勒索软件家族，这些家族采用半新颖的技术和非典型行为，例如在文件头部附加注释，”Walter 说。“这些行为似乎是为了逃避检测和某种程度的反分析欺骗而实施的。”

这不是MSDTC服务第一次被用于恶意目的。2021 年 5 月，Trustwave披露了一种名为Pingback的新型恶意软件，它利用相同的技术来实现持久性和绕过安全解决方案。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5191.html