Proofpoint發(fā)現(xiàn)，一種新發(fā)現(xiàn)的復(fù)雜的遠(yuǎn)程訪問(wèn)木馬(RAT)正在使用COVID-19誘餌通過(guò)惡意電子郵件活動(dòng)進(jìn)行廣泛傳播，并可以通過(guò)多種功能來(lái)規(guī)避研究人員的分析或檢測(cè)。

根據(jù)周三發(fā)表的一篇Proofpoint博客文章，這種被稱(chēng)為Nerbian RAT的新型惡意軟件變體是用與OS無(wú)關(guān)的Go編程語(yǔ)言編寫(xiě)的，并利用了顯著的反分析和抗扭轉(zhuǎn)功能。研究人員表示，Proofpoint研究人員基于惡意軟件代碼中的命名函數(shù)來(lái)代指該新型軟件，而這一命名似乎來(lái)自小說(shuō)《堂吉訶德》中的虛構(gòu)地方“Nerbia”。

他們聲稱(chēng)，Proofpoint研究人員首次觀察到RAT從4月26日開(kāi)始才出現(xiàn)在低容量的電子郵件活動(dòng)中并被分發(fā)給多個(gè)行業(yè)，主要影響意大利、西班牙和英國(guó)的組織。

研究人員寫(xiě)道該病毒的表現(xiàn)形式為：這些電子郵件聲稱(chēng)代表世界衛(wèi)生組織(世衛(wèi)組織)向受害人群提供有關(guān)新冠肺炎的重要信息。他們指出，這些信息實(shí)際上是對(duì)2020年疫情早期流傳的類(lèi)似網(wǎng)絡(luò)釣魚(yú)活動(dòng)的倒退。

而帖子中共享的電子郵件樣本則試圖讓他們自己看起來(lái)像是來(lái)自世衛(wèi)組織的電子郵件地址，例如who.inter.svc@gmail[.]com和unceration@who-international[.]com，并用作世衛(wèi)組織或世界衛(wèi)生組織的主題行。這些消息包括防控COVID-19相關(guān)的安全措施，以及名稱(chēng)中也包含“covid19”的附件，但這些文件實(shí)際上是包含惡意宏的Word文檔。

而啟用該類(lèi)包含宏的文檔后，該文件將介紹與COVID-19安全相關(guān)的信息，特別是有關(guān)自我隔離和護(hù)理COVID-19患者的信息。研究人員寫(xiě)道，宏啟用還刺激文檔執(zhí)行嵌入式宏，該宏刪除執(zhí)行PowerShell進(jìn)程的文件，將Nerbian RAT滴管放入一個(gè)名為UpdateUAV.exe的64位可執(zhí)行文件中，該文件用Go編寫(xiě)。

研究人員指出，Go語(yǔ)言正在成為威脅行為者使用的越來(lái)越受歡迎的語(yǔ)言，這可能是因?yàn)樗倪M(jìn)入壁壘較低，易用性也很大。

復(fù)雜性和規(guī)避

研究人員寫(xiě)道，Nerbian RAT惡意軟件利用了分布在幾個(gè)階段的多個(gè)反分析組件，包括多個(gè)開(kāi)源庫(kù)。事實(shí)上，惡意軟件表現(xiàn)出其具有復(fù)雜性，并會(huì)在三個(gè)不同的階段工作。首先它通過(guò)網(wǎng)絡(luò)釣魚(yú)傳播的惡意文檔開(kāi)始，然后如上所述轉(zhuǎn)到UpdateUAV.exe滴管，滴管在執(zhí)行Nerbian RAT之前執(zhí)行各種環(huán)境掃描，例如反扭轉(zhuǎn)和反VM檢查。

最終，研究人員觀察到RAT本身通過(guò)加密配置文件執(zhí)行，并“非常小心”地通過(guò)安全套接字層(SSL)發(fā)送，以此確保命令和控制(C&C)的數(shù)據(jù)被加密，這樣就逃避了網(wǎng)絡(luò)掃描工具的檢查。

他們說(shuō)，除了與C&C通信外，惡意軟件可以做的其他典型RAT事情包括鍵盤(pán)記錄和屏幕捕獲，但具有自己的特殊天賦。RAT的鍵盤(pán)記錄器以加密形式存儲(chǔ)按鍵，而其屏幕捕獲工具則能夠適用于所有操作系統(tǒng)平臺(tái)。

極端審查

也許三階段過(guò)程中最復(fù)雜的規(guī)避功能是滴管執(zhí)行Nerbian RAT之前發(fā)生的事情。研究人員表示，滴管會(huì)對(duì)受損的主機(jī)進(jìn)行全面審查，如果遇到以下的條件將會(huì)停止執(zhí)行。研究人員表示，這些條件包括：系統(tǒng)上硬盤(pán)的大小小于一定數(shù)值，即100GB;根據(jù)WMI，硬盤(pán)的名稱(chēng)包含“虛擬”、“vbox”或“vmware”;查詢(xún)的MAC地址返回某些OUI值;或者如果在流程列表中遇到任何逆向工程/調(diào)試程序。

如果進(jìn)程列表中存在DumpIt.exe、RAMMap.exe、RAMMap64.exe或vmmap.exe內(nèi)存分析/內(nèi)存篡改程序，滴管也會(huì)停止執(zhí)行;如果執(zhí)行特定函數(shù)被視為“過(guò)長(zhǎng)”，這表明滴管中存在的時(shí)間測(cè)量函數(shù)正在進(jìn)行調(diào)試。

然而，盡管有所有這些復(fù)雜性以確保RAT在前往受害者機(jī)器的途中不會(huì)被檢測(cè)到，但研究人員指出，滴管和RAT本身在裝滿(mǎn)UPX的樣本之外不會(huì)發(fā)生嚴(yán)重的混淆——可以說(shuō)這不一定是為了混淆，而是為了簡(jiǎn)單地縮小可執(zhí)行文件的大小。研究人員還發(fā)現(xiàn)，很容易推斷RAT和滴管的大部分功能，因?yàn)榇a中引用GitHub存儲(chǔ)庫(kù)的字符串暴露了滴管和RAT的部分功能。

文章來(lái)源于：https://threatpost.com/nerbian-rat-advanced-trick/179600/如若轉(zhuǎn)載，請(qǐng)注明原文地址。