最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

7 年后,长期威胁DarkTortilla加密器仍在进化

网络安全 快米云 来源:快米云 57浏览

Secureworks 表示,基于 .NET 的恶意软件可以推送广泛的恶意负载,并逃避检测

一种高度普及的基于 .NET 的加密器自 2015 年左右开始受到关注,并且可以提供广泛的恶意负载,并且继续快速发展,在 16 个月的时间里有近 10,000 个代码示例被上传到 VirusTotal。

据 Secureworks 的研究人员称,这种被称为“DarkTortilla”的加密程序通常会提供信息窃取程序和远程访问木马 (RAT),例如 AgentTesla、AsyncRat、NanoCore 和 RedLine,尽管已经看到一些样本提供了诸如 Cobalt Strike 和 Metasploit 等目标有效载荷。反威胁单位 (CTU)。

它还可以提供附加包,如其他恶意软件、良性诱饵文档和可执行文件。DarkTorilla 还带有一系列控件,旨在使威胁猎手难以检测、分析和消除它。

“研究人员经常忽视 DarkTortilla 并专注于其主要有效载荷,”CTU 分析师在周三发布的一份报告中写道。“然而,DarkTortilla 能够逃避检测,高度可配置,并提供广泛的流行和有效的恶意软件。它的功能和普遍性使其成为一个强大的威胁。”

加密器是一种软件,旨在加密、混淆和操纵恶意软件,使安全程序更难检测到它。根据网络安全供应商趋势科技的说法,网络犯罪分子使用加密器创建恶意软件,将自身呈现为无害程序,以通过安全软件并安装在目标系统中。加密器加密恶意程序并重新组装代码。

通常,加密程序是通过鱼叉式网络钓鱼电子邮件和垃圾邮件中的附件发送的。Secureworks 在审查 VirusTotal 样本时发现,通过垃圾邮件发送 DarkTortilla 的“大量活动”是针对受害者定制的。根据 CTU 的说法,恶意负载以附件的形式出现,其中包含多种文件类型,从 .zip 和 .iso 到 .img 和 .tar。西班牙语和保加利亚语。

CTU 的高级安全研究员 Rob Pantazopoulos 告诉The Register,像 DarkTortilla 这样的恶意软件长时间处于活动状态而未被检测到是不寻常的,但它得益于许多通用的基于 .NET 的加密程序、加载程序之一,以及野外的滴管。此外,其中许多恶意软件是使用 ConfuserEX、DeapSea 和 Eazfuscator 等代码混淆器进行编码的。

“因此,鉴于反向工程加密器可能导致的高成本和低回报,安全研究人员经常忽视这些加密器,而倾向于使用它们的主要有效载荷,”Pantazopoulos 说。

他怀疑MalwareBytes 分析师去年在一份报告中提到的“下一阶段 .NET 下载器”和“.NET 下载器”,他们称之为“Saint Bot”的下载器是 DarkTortilla 的初始、加载器和核心处理器组件,在报告中被忽略了.

MalwareBytes 研究人员还在2015 年发布了一份关于新的 .NET 加密器的报告,他说这可能是基于一些共同特征的 DarkTortilla 的早期实例,包括其 .NET 连接、精心配置、显示自定义消息框的能力受害者和反虚拟机和沙盒检查。需要更多的研究来进一步确认任何链接。

DarkTortilla 包含两个组件——一个基于 .NET 的可执行文件作为初始加载程序,一个基于 .NET 的 DLL 作为核心处理器——这是启动恶意负载所需的。初始加载程序解码、加载和执行核心处理器,然后提取、解密和解析其配置。它还可以显示虚假消息框、检查虚拟机和沙箱、实现持久性并处理附加包。然后,核心处理器注入并执行配置的主要有效载荷并实施其防篡改控制。

根据 Pantazopoulos 的说法,它提供的大量恶意软件为 CTU 研究人员提供了网络犯罪分子如何使用它的提示。

“虽然我们还没有确定这个加密器的销售方式和地点,但我们怀疑它是作为一种服务出售的,”他说。“因此,与加密器相关的威胁参与者和相应的有效载荷将有很大的不同。”

2021 年 1 月至 2022 年 5 月期间加载到 VirusTotal 中的 DarkTortilla 代码样本数量明显高于 Pantazopoulos 通常看到的数量。在一个流行的商品恶意软件系列的 VirusTotal 中进行 365 天的“回溯”,CTU 往往会看到几百到 2,000 左右的点击。在这 16 个月中,平均每周有 93 个独特的 DarkTortilla 样品。

在 DarkTortilla 中看到的代码相似之处表明可能与其他恶意软件存在联系,包括最后一次更新于 2016 年并由 RATs Crew 威胁组织运行的加密器,该组织在 2008 年至 2012 年间活跃,以及去年出现并使用类似恶意软件的 Gameloader垃圾邮件引诱并利用 .NET 资源。

尽管存在这么久,DarkTortilla 仍在不断发展。

Pantazopoulos 说:“鉴于我们在初始加载程序中看到的变化,我们知道加密器正在积极开发中。” “具体来说,从大约 2021 年 5 月到 2021 年 12 月,DarkTortilla 的初始加载程序已更改为从公共粘贴站点 [如 Pastebin 和 TextBin] 检索其编码的核心处理器。在此时间段之前和之后,编码的核心进程已存储在DarkTortilla 的初始加载程序可执行文件的资源。”

他说,CTU 研究人员还看到了对核心处理器 DLL 的细微更改,包括与解析 DarkTortilla 配置相关的某些属性名称。

安全专家需要关注 DarkTortilla,因为它无处不在——正如 VirusTotal 中大量的代码示例所示——以及它逃避检测的能力、它的可配置性以及它提供的广泛的流行恶意软件。因为它的主要有效载荷在内存中执行,所以不会在文件系统上找到有效载荷的证据,Pantazopoulos 说这是逃避检测的常用技术。

“DarkTortilla 的防篡改方面确保它在环境中保持持久性,”他说。“通过其精心配置,DarkTortilla 具有类似恶意软件所没有的多功能性。它可以配置大量有效负载,支持多种持久性类型,能够向受害者显示可自定义的消息框,并且可以在初始阶段多次迁移其执行执行。”

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 7 年后,长期威胁DarkTortilla加密器仍在进化