Proofpoint發(fā)現(xiàn)，一種新發(fā)現(xiàn)的復(fù)雜的遠(yuǎn)程訪問木馬(RAT)正在使用COVID-19誘餌通過惡意電子郵件活動(dòng)進(jìn)行廣泛傳播，并可以通過多種功能來規(guī)避研究人員的分析或檢測。

根據(jù)周三發(fā)表的一篇Proofpoint博客文章，這種被稱為Nerbian RAT的新型惡意軟件變體是用與OS無關(guān)的Go編程語言編寫的，并利用了顯著的反分析和抗扭轉(zhuǎn)功能。研究人員表示，Proofpoint研究人員基于惡意軟件代碼中的命名函數(shù)來代指該新型軟件，而這一命名似乎來自小說《堂吉訶德》中的虛構(gòu)地方“Nerbia”。

他們聲稱，Proofpoint研究人員首次觀察到RAT從4月26日開始才出現(xiàn)在低容量的電子郵件活動(dòng)中并被分發(fā)給多個(gè)行業(yè)，主要影響意大利、西班牙和英國的組織。

研究人員寫道該病毒的表現(xiàn)形式為：這些電子郵件聲稱代表世界衛(wèi)生組織(世衛(wèi)組織)向受害人群提供有關(guān)新冠肺炎的重要信息。他們指出，這些信息實(shí)際上是對2020年疫情早期流傳的類似網(wǎng)絡(luò)釣魚活動(dòng)的倒退。

而帖子中共享的電子郵件樣本則試圖讓他們自己看起來像是來自世衛(wèi)組織的電子郵件地址，例如who.inter.svc@gmail[.]com和unceration@who-international[.]com，并用作世衛(wèi)組織或世界衛(wèi)生組織的主題行。這些消息包括防控COVID-19相關(guān)的安全措施，以及名稱中也包含“covid19”的附件，但這些文件實(shí)際上是包含惡意宏的Word文檔。

而啟用該類包含宏的文檔后，該文件將介紹與COVID-19安全相關(guān)的信息，特別是有關(guān)自我隔離和護(hù)理COVID-19患者的信息。研究人員寫道，宏啟用還刺激文檔執(zhí)行嵌入式宏，該宏刪除執(zhí)行PowerShell進(jìn)程的文件，將Nerbian RAT滴管放入一個(gè)名為UpdateUAV.exe的64位可執(zhí)行文件中，該文件用Go編寫。

研究人員指出，Go語言正在成為威脅行為者使用的越來越受歡迎的語言，這可能是因?yàn)樗倪M(jìn)入壁壘較低，易用性也很大。

復(fù)雜性和規(guī)避

研究人員寫道，Nerbian RAT惡意軟件利用了分布在幾個(gè)階段的多個(gè)反分析組件，包括多個(gè)開源庫。事實(shí)上，惡意軟件表現(xiàn)出其具有復(fù)雜性，并會(huì)在三個(gè)不同的階段工作。首先它通過網(wǎng)絡(luò)釣魚傳播的惡意文檔開始，然后如上所述轉(zhuǎn)到UpdateUAV.exe滴管，滴管在執(zhí)行Nerbian RAT之前執(zhí)行各種環(huán)境掃描，例如反扭轉(zhuǎn)和反VM檢查。

最終，研究人員觀察到RAT本身通過加密配置文件執(zhí)行，并“非常小心”地通過安全套接字層(SSL)發(fā)送，以此確保命令和控制(C&C)的數(shù)據(jù)被加密，這樣就逃避了網(wǎng)絡(luò)掃描工具的檢查。

他們說，除了與C&C通信外，惡意軟件可以做的其他典型RAT事情包括鍵盤記錄和屏幕捕獲，但具有自己的特殊天賦。RAT的鍵盤記錄器以加密形式存儲按鍵，而其屏幕捕獲工具則能夠適用于所有操作系統(tǒng)平臺。

極端審查

也許三階段過程中最復(fù)雜的規(guī)避功能是滴管執(zhí)行Nerbian RAT之前發(fā)生的事情。研究人員表示，滴管會(huì)對受損的主機(jī)進(jìn)行全面審查，如果遇到以下的條件將會(huì)停止執(zhí)行。研究人員表示，這些條件包括：系統(tǒng)上硬盤的大小小于一定數(shù)值，即100GB;根據(jù)WMI，硬盤的名稱包含“虛擬”、“vbox”或“vmware”;查詢的MAC地址返回某些OUI值;或者如果在流程列表中遇到任何逆向工程/調(diào)試程序。

如果進(jìn)程列表中存在DumpIt.exe、RAMMap.exe、RAMMap64.exe或vmmap.exe內(nèi)存分析/內(nèi)存篡改程序，滴管也會(huì)停止執(zhí)行;如果執(zhí)行特定函數(shù)被視為“過長”，這表明滴管中存在的時(shí)間測量函數(shù)正在進(jìn)行調(diào)試。

然而，盡管有所有這些復(fù)雜性以確保RAT在前往受害者機(jī)器的途中不會(huì)被檢測到，但研究人員指出，滴管和RAT本身在裝滿UPX的樣本之外不會(huì)發(fā)生嚴(yán)重的混淆——可以說這不一定是為了混淆，而是為了簡單地縮小可執(zhí)行文件的大小。研究人員還發(fā)現(xiàn)，很容易推斷RAT和滴管的大部分功能，因?yàn)榇a中引用GitHub存儲庫的字符串暴露了滴管和RAT的部分功能。

文章來源于：https://threatpost.com/nerbian-rat-advanced-trick/179600/如若轉(zhuǎn)載，請注明原文地址。