Bleeping Computer 網(wǎng)站披露，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一個(gè)名為 Nerbian RAT 的新型惡意軟件，它具有逃避研究人員檢測(cè)和分析的能力。

Proofpoint 的安全研究人員首先發(fā)現(xiàn)該新型惡意軟件，并發(fā)布了一份關(guān)于新型 Nerbian RAT 惡意軟件的報(bào)告。

據(jù)悉，新型惡意軟件變體采用 Go 語(yǔ)言編寫，使其成為跨平臺(tái)的64位威脅。目前，該惡意軟件通過(guò)使用宏文檔附件的小規(guī)模電子郵件分發(fā)活動(dòng)進(jìn)行傳播。

冒充世界衛(wèi)生組織

惡意軟件背后的操縱者冒充世界衛(wèi)生組織(WHO)，分發(fā) Nerbian RAT 惡意軟件，據(jù)稱該組織正在向目標(biāo)發(fā)送COVID-19信息。

最新活動(dòng)中看到的釣魚郵件(Proofpoint)

RAR 附件中包含帶有惡意宏代碼的 Word 文檔，如果在 Microsoft Office 上打開(kāi)，并將內(nèi)容設(shè)置為 "啟用"的話，一個(gè) bat 文件會(huì)執(zhí)行 PowerShell 步驟，下載一個(gè) 64 位的 dropper。

這個(gè)名為 UpdateUAV.exe 的 dropper 也采用 Golang 編寫，為了保證其大小可控，被打包在 UPX 中。

在部署 Nerbian RAT 之前，UpdateUAV 重用來(lái)自各種 GitHub 項(xiàng)目的代碼，以整合一組豐富的反分析和檢測(cè)規(guī)避機(jī)制。除此以外，該投放器還通過(guò)創(chuàng)建一個(gè)預(yù)定任務(wù)，每小時(shí)啟動(dòng)該 RAT 來(lái)建立持久性。

Proofpoint 將反分析工具列表總結(jié)如下。

• 檢查進(jìn)程列表中是否存在反向工程或調(diào)試程序
• 檢查可疑的 MAC 地址
• 檢查 WMI 字符串，看磁盤名稱是否合法
• 檢查硬盤大小是否低于 100GB，這是虛擬機(jī)的典型特征
• 檢查進(jìn)程列表中是否存在任何內(nèi)存分析或篡改檢測(cè)程序
• 檢查執(zhí)行后的時(shí)間量，并與設(shè)定的閾值進(jìn)行比較
• 使用 IsDebuggerPresent API 來(lái)確定可執(zhí)行文件是否正在被調(diào)試。

所有上述這些檢查使 RAT 實(shí)際上不可能在沙盒、虛擬化環(huán)境中運(yùn)行，從而確保惡意軟件運(yùn)營(yíng)商的長(zhǎng)期隱蔽性。

Nerbian RAT 的功能特點(diǎn)

Nerbian RAT 惡意軟件以 "MoUsoCore.exe "形式下載，之后保存到 "C:\ProgramData\USOShared\"中，支持多種功能，背后操作者可以任意選擇配置其中的一些功能。

值得注意的是，它具有兩個(gè)顯著功能，一個(gè)是以加密形式存儲(chǔ)擊鍵的鍵盤記錄器，另外一個(gè)是適用于所有操作系統(tǒng)平臺(tái)的屏幕捕獲工具。

另外，它與 C2 服務(wù)器的通信是通過(guò) SSL(安全套接字層)處理的，因此所有的數(shù)據(jù)交換都是加密的，并受到保護(hù)，有效防止了網(wǎng)絡(luò)掃描工具在傳輸過(guò)程中進(jìn)行檢查。

完整的感染過(guò)程 (Proofpoint)

應(yīng)當(dāng)密切關(guān)注

毫無(wú)疑問(wèn)，Proofpoint 發(fā)現(xiàn)的 Nerbian RAT ，是一個(gè)有趣的、復(fù)雜的新型惡意軟件，它通過(guò)大量的檢查、通信加密和代碼混淆，專注于隱蔽性。

不過(guò)，就目前而言，Nerbian RAT 惡意軟件還是通過(guò)低容量的電子郵件活動(dòng)進(jìn)行分發(fā)，所以還構(gòu)不成大規(guī)模威脅，但如果其背后操作者決定向更廣泛的網(wǎng)絡(luò)犯罪社區(qū)傳播，情況可能會(huì)變得很糟糕。

參考文章：https://www.bleepingcomputer.com/news/security/new-stealthy-nerbian-rat-malware-spotted-in-ongoing-attacks/