您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

恶意软件使用新的“无文件”技术逃避传统杀毒软件

时间:2021-12-17 11:56:13  来源:  作者:网安老葫
恶意软件使用新的“无文件”技术逃避传统杀毒软件

 

已经观察到一种新的基于JAVAScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。

该恶意软件由Prevalyion的对抗性反情报团队(PACT)的研究人员称为DarkWatchman,它使用弹性域生成算法(DGA)来识别其命令和控制(C2)基础架构,并利用windows注册表进行所有存储操作,从而使其能够绕过反恶意软件引擎。

研究人员Matt Stafford和Sherman Smith说,RAT"利用新颖的方法进行无文件持久性,系统活动和动态运行时功能,如自我更新和重新编译,"并补充说它"代表了无文件恶意软件技术的演变,因为它将注册表用于几乎所有临时和永久存储,因此永远不会向磁盘写入任何东西,使其能够在大多数安全工具的检测阈值以下或附近运行。

Prevailion表示,俄罗斯一家未具名的企业规模组织是目标受害者之一,从2021年11月12日开始确定了许多恶意软件工件。鉴于其后门和持久性功能,PACT团队评估DarkWatchman可能是勒索软件组使用的初始访问和侦察工具。

这种新颖发展的一个有趣的结果是,它完全避免了勒索软件运营商招募关联公司的需要,这些关联公司通常负责丢弃文件锁定恶意软件并处理文件泄露。使用DarkWatchman作为勒索软件部署的前奏,还可以使勒索软件的核心开发人员能够更好地监督操作,而不仅仅是谈判赎金。

恶意软件使用新的“无文件”技术逃避传统杀毒软件

 

DarkWatchman通过鱼叉式网络钓鱼电子邮件分发,伪装成俄罗斯货运公司Pony Express交付的货物的"免费存储到期通知",为进一步的恶意活动提供了一个隐蔽的网关。这些电子邮件以ZIP存档的形式附有所谓的发票,而该存档又包含感染Windows系统所需的有效负载。

新颖的RAT既是无文件的JavaScript RAT,也是基于C#的键盘记录器,后者存储在注册表中以避免检测。这两个组件也都非常轻巧。恶意JavaScript代码只需要大约32kb,而键盘记录器几乎只注册8.5kb。

"将二进制文件作为编码文本存储在注册表中意味着DarkWatchman是持久的,但其可执行文件永远不会(永久)写入磁盘;这也意味着DarkWatchman的运营商可以在每次执行恶意软件时更新(或替换)恶意软件,"研究人员说。

安装后,DarkWatchman可以执行任意二进制文件,加载DLL文件,运行JavaScript代码和PowerShell命令,将文件上传到远程服务器,更新自身,甚至从受感染的机器上卸载RAT和键盘记录器。JavaScript 例程还负责通过创建在每次用户登录时运行恶意软件的计划任务来建立持久性。

"键盘记录器本身不与C2通信或写入磁盘,"研究人员说。"相反,它会将其注册表项写入注册表项,并将其用作缓冲区。在其操作过程中,RAT会刮擦并清除此缓冲区,然后将记录的击键传输到C2服务器。

DarkWatchman尚未被归因于黑客组织,但Prevaition将船员描述为"有能力的威胁行为者",并指出该恶意软件专门针对位于俄罗斯的受害者以及在源代码样本中发现的印刷错误和拼写错误,这增加了操作员可能不是母语为英语的可能性。

"DarkWatchman的作者似乎发现并利用Windows注册表的复杂性和不透明度在安全工具和分析师的检测阈值以下或附近工作,"研究人员总结道。"注册表更改是司空见惯的,并且很难识别哪些更改是异常的或超出正常操作系统和软件功能的范围。



Tags:恶意软件   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  Tags: 恶意软件  点击:(13)  评论:(0)  加入收藏
现在有这么多人天天在线,网络黑客时刻不停地在策划并计划他们的下一个攻击目标。你要做的最好的事情之一就是确保你的信息安全。保护你的个人信息不被获取,以及保护自己免受诈...【详细内容】
2020-08-03  Tags: 恶意软件  点击:(138)  评论:(0)  加入收藏
一种名为EvilQuest的新数据擦除程序和信息窃取程序正在使用勒索软件作为诱骗手段窃取macOS用户文件。从torrent跟踪器下载流行应用的木马安装程序后,受害者就被感染了。一...【详细内容】
2020-07-02  Tags: 恶意软件  点击:(127)  评论:(0)  加入收藏
【环球网科技综合报道】据外媒消息,日前,网络安全公司ERNW的安全研究人员发行了一个名为BlueFrag的漏洞,该漏洞使具有蓝牙功能的Android设备范围内的任何人都可以访问该设备的...【详细内容】
2020-02-10  Tags: 恶意软件  点击:(147)  评论:(0)  加入收藏
网络罪犯是忙于创新的人,正在调整他们的武器和攻击策略,并且无情地漫游网络以寻找下一个高分。 敏感信息的每种方式,例如机密的员工记录,客户的财务数据,受保护的医疗文件和政府...【详细内容】
2019-12-23  Tags: 恶意软件  点击:(93)  评论:(0)  加入收藏
企业网络感染恶意软件可能会造成关键信息系统或数据的破坏,直接威胁正常业务的运行。为了应对这样的情况,企业应该提前做好准备,构建恶意软件的检测和响应能力。 恶意软件的...【详细内容】
2019-12-09  Tags: 恶意软件  点击:(155)  评论:(0)  加入收藏
每次通过手机,平板电脑或计算机连接到Internet时,都将承受一定程度的风险。黑客继续寻找新方法来利用安全漏洞并破坏设备或数据。我们需要时刻保持警惕,以避免危险的恶意软件和...【详细内容】
2019-11-20  Tags: 恶意软件  点击:(96)  评论:(0)  加入收藏
APT一直以其"高级""持续"的特点名列网络病毒系列榜首。其攻击对象高级,持续时间长,通常以年为单位。以下是各国情报和军事部门的网络安全部门列出的最危险,伤害力最强,最"臭名昭...【详细内容】
2019-11-08  Tags: 恶意软件  点击:(155)  评论:(0)  加入收藏
加密货币挖掘恶意软件是一种普遍存在网络威胁,不止是Windows系统,如今你在移动设备、Unix和类Unix系统,甚至是服务器和云环境中,都可以见到它们的身影。此外,它们的反检测能力也...【详细内容】
2019-09-26  Tags: 恶意软件  点击:(291)  评论:(0)  加入收藏
近日,一种名为“Domen”的新型黑客工具包被发现,它潜伏在被黑掉的合法网站上,通过展示虚假浏览器和应用软件更新警报页面来诱骗你点击,进而使用恶意软件和远程访问软件来感染你...【详细内容】
2019-09-19  Tags: 恶意软件  点击:(217)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(46)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(225)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(81)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(93)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(112)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条