多個惡意軟件正在使用 Ezuri內(nèi)存 Loader 進行防護，使安全產(chǎn)品無法檢測到他們的惡意代碼。Ezuri 在 GitHub 上提供了用 Golang 編寫的源代碼，在惡意軟件中變得越來越普及。

[[380170]]

Ezuri 解密內(nèi)存中的 Payload

根據(jù) AT&T Alien Labs 發(fā)布的分析報告，多個攻擊者正在使用 Ezuri 來加密其惡意軟件并逃避安全產(chǎn)品的檢測。

盡管 Windows 惡意軟件都會采用類似的方式，但攻擊者現(xiàn)在也正在 Linux 平臺上使用 Ezuri 實現(xiàn)這一目標。

Ezuri 用 Go 語言編寫，同時充當 Linux 二進制文件的加密和加載器。Ezuri 使用 AES 加密惡意軟件代碼，解密后直接在內(nèi)存中執(zhí)行 Payload，不會在磁盤上落地任何文件。

Ezuri 的創(chuàng)建者 Guilherme Thomazi Bonicontro('guitmz')于 2019 年在 GitHub上開源了代碼，并在他的博客文章中首次展示了該工具的功能。

“此外，用戶'TMZ'(可能與先前提到的 'guitmz' 有關(guān))在 8 月下旬在一個共享惡意軟件樣本的小型論壇上也發(fā)布了相同的代碼”，AT&T Alien Labs 的研究員 Ofer Caspi 和 Fernando Martinez 解釋道。

研究人員指出，解密 AES 加密的 Payload 后，Ezuri 立即將結(jié)果作為參數(shù)傳遞給 runFromMemory 函數(shù)，而不會在失陷主機上釋放文件。

VirusTotal的檢測率接近零

AT&T 的研究表明，通常在 VirusTotal 上有一半的反病毒引擎判黑的惡意軟件樣本在用 Ezuri 加密后，被檢測到的概率接近 0。

目前為止， 使用 Ezuri 加密的樣本在 VirusTotal 上的檢測率還不到 5%。

多個攻擊者都在積極使用

在過去的幾個月中，Caspi 和 Martinez 確定了幾個惡意軟件都在將其樣本與 Ezuri 捆綁使用。其中包括從 2020 年 4 月開始活躍的網(wǎng)絡犯罪組織 TeamTnT。

最初，TeamTnT 會攻擊配置錯誤的 Docker 服務，將失陷主機轉(zhuǎn)變?yōu)?DDoS 肉雞和挖礦的礦工。后來，TeamTnT 的變種會從內(nèi)存中提取 AWS 憑據(jù)。由 Palo Alto Networks Unit42發(fā)現(xiàn)的其中一個變種(Black-T)實際上是使用 Ezuri 加密的。”

解密后的 Payload 是一個 UPX 加殼的 ELF 文件，首次出現(xiàn)在 2020 年 6 月。詳細信息可參見 ATT&T 的分析文章。

參考來源：BleepingComputer