Bleeping Computer 網(wǎng)站披露，網(wǎng)絡安全研究人員發(fā)現(xiàn)一個名為 Nerbian RAT 的新型惡意軟件，它具有逃避研究人員檢測和分析的能力。

Proofpoint 的安全研究人員首先發(fā)現(xiàn)該新型惡意軟件，并發(fā)布了一份關(guān)于新型 Nerbian RAT 惡意軟件的報告。

據(jù)悉，新型惡意軟件變體采用 Go 語言編寫，使其成為跨平臺的64位威脅。目前，該惡意軟件通過使用宏文檔附件的小規(guī)模電子郵件分發(fā)活動進行傳播。

冒充世界衛(wèi)生組織

惡意軟件背后的操縱者冒充世界衛(wèi)生組織(WHO)，分發(fā) Nerbian RAT 惡意軟件，據(jù)稱該組織正在向目標發(fā)送COVID-19信息。

最新活動中看到的釣魚郵件(Proofpoint)

RAR 附件中包含帶有惡意宏代碼的 Word 文檔，如果在 Microsoft Office 上打開，并將內(nèi)容設置為 "啟用"的話，一個 bat 文件會執(zhí)行 PowerShell 步驟，下載一個 64 位的 dropper。

這個名為 UpdateUAV.exe 的 dropper 也采用 Golang 編寫，為了保證其大小可控，被打包在 UPX 中。

在部署 Nerbian RAT 之前，UpdateUAV 重用來自各種 GitHub 項目的代碼，以整合一組豐富的反分析和檢測規(guī)避機制。除此以外，該投放器還通過創(chuàng)建一個預定任務，每小時啟動該 RAT 來建立持久性。

Proofpoint 將反分析工具列表總結(jié)如下。

• 檢查進程列表中是否存在反向工程或調(diào)試程序
• 檢查可疑的 MAC 地址
• 檢查 WMI 字符串，看磁盤名稱是否合法
• 檢查硬盤大小是否低于 100GB，這是虛擬機的典型特征
• 檢查進程列表中是否存在任何內(nèi)存分析或篡改檢測程序
• 檢查執(zhí)行后的時間量，并與設定的閾值進行比較
• 使用 IsDebuggerPresent API 來確定可執(zhí)行文件是否正在被調(diào)試。

所有上述這些檢查使 RAT 實際上不可能在沙盒、虛擬化環(huán)境中運行，從而確保惡意軟件運營商的長期隱蔽性。

Nerbian RAT 的功能特點

Nerbian RAT 惡意軟件以 "MoUsoCore.exe "形式下載，之后保存到 "C:\ProgramData\USOShared\"中，支持多種功能，背后操作者可以任意選擇配置其中的一些功能。

值得注意的是，它具有兩個顯著功能，一個是以加密形式存儲擊鍵的鍵盤記錄器，另外一個是適用于所有操作系統(tǒng)平臺的屏幕捕獲工具。

另外，它與 C2 服務器的通信是通過 SSL(安全套接字層)處理的，因此所有的數(shù)據(jù)交換都是加密的，并受到保護，有效防止了網(wǎng)絡掃描工具在傳輸過程中進行檢查。

完整的感染過程 (Proofpoint)

應當密切關(guān)注

毫無疑問，Proofpoint 發(fā)現(xiàn)的 Nerbian RAT ，是一個有趣的、復雜的新型惡意軟件，它通過大量的檢查、通信加密和代碼混淆，專注于隱蔽性。

不過，就目前而言，Nerbian RAT 惡意軟件還是通過低容量的電子郵件活動進行分發(fā)，所以還構(gòu)不成大規(guī)模威脅，但如果其背后操作者決定向更廣泛的網(wǎng)絡犯罪社區(qū)傳播，情況可能會變得很糟糕。

參考文章：https://www.bleepingcomputer.com/news/security/new-stealthy-nerbian-rat-malware-spotted-in-ongoing-attacks/