Proofpoint发现,一种新发现的复杂的远程访问木马(RAT)正在使用COVID-19诱饵通过恶意电子邮件活动进行广泛传播,并可以通过多种功能来规避研究人员的分析或检测。
根据周三发表的一篇Proofpoint博客文章,这种被称为Nerbian RAT的新型恶意软件变体是用与OS无关的Go编程语言编写的,并利用了显著的反分析和抗扭转功能。研究人员表示,Proofpoint研究人员基于恶意软件代码中的命名函数来代指该新型软件,而这一命名似乎来自小说《堂吉诃德》中的虚构地方“Nerbia”。
他们声称,Proofpoint研究人员首次观察到RAT从4月26日开始才出现在低容量的电子邮件活动中并被分发给多个行业,主要影响意大利、西班牙和英国的组织。
研究人员写道该病毒的表现形式为:这些电子邮件声称代表世界卫生组织(世卫组织)向受害人群提供有关新冠肺炎的重要信息。他们指出,这些信息实际上是对2020年疫情早期流传的类似网络钓鱼活动的倒退。
而帖子中共享的电子邮件样本则试图让他们自己看起来像是来自世卫组织的电子邮件地址,例如who.inter.svc@gmail[.]com和unceration@who-international[.]com,并用作世卫组织或世界卫生组织的主题行。这些消息包括防控COVID-19相关的安全措施,以及名称中也包含“covid19”的附件,但这些文件实际上是包含恶意宏的Word文档。
而启用该类包含宏的文档后,该文件将介绍与COVID-19安全相关的信息,特别是有关自我隔离和护理COVID-19患者的信息。研究人员写道,宏启用还刺激文档执行嵌入式宏,该宏删除执行PowerShell进程的文件,将Nerbian RAT滴管放入一个名为UpdateUAV.exe的64位可执行文件中,该文件用Go编写。
研究人员指出,Go语言正在成为威胁行为者使用的越来越受欢迎的语言,这可能是因为它的进入壁垒较低,易用性也很大。
复杂性和规避
研究人员写道,Nerbian RAT恶意软件利用了分布在几个阶段的多个反分析组件,包括多个开源库。事实上,恶意软件表现出其具有复杂性,并会在三个不同的阶段工作。首先它通过网络钓鱼传播的恶意文档开始,然后如上所述转到UpdateUAV.exe滴管,滴管在执行Nerbian RAT之前执行各种环境扫描,例如反扭转和反VM检查。
最终,研究人员观察到RAT本身通过加密配置文件执行,并“非常小心”地通过安全套接字层(SSL)发送,以此确保命令和控制(C&C)的数据被加密,这样就逃避了网络扫描工具的检查。
他们说,除了与C&C通信外,恶意软件可以做的其他典型RAT事情包括键盘记录和屏幕捕获,但具有自己的特殊天赋。RAT的键盘记录器以加密形式存储按键,而其屏幕捕获工具则能够适用于所有操作系统平台。
极端审查
也许三阶段过程中最复杂的规避功能是滴管执行Nerbian RAT之前发生的事情。研究人员表示,滴管会对受损的主机进行全面审查,如果遇到以下的条件将会停止执行。研究人员表示,这些条件包括:系统上硬盘的大小小于一定数值,即100GB;根据WMI,硬盘的名称包含“虚拟”、“vbox”或“vmware”;查询的MAC地址返回某些OUI值;或者如果在流程列表中遇到任何逆向工程/调试程序。
如果进程列表中存在DumpIt.exe、RAMMap.exe、RAMMap64.exe或vmmap.exe内存分析/内存篡改程序,滴管也会停止执行;如果执行特定函数被视为“过长”,这表明滴管中存在的时间测量函数正在进行调试。
然而,尽管有所有这些复杂性以确保RAT在前往受害者机器的途中不会被检测到,但研究人员指出,滴管和RAT本身在装满UPX的样本之外不会发生严重的混淆——可以说这不一定是为了混淆,而是为了简单地缩小可执行文件的大小。研究人员还发现,很容易推断RAT和滴管的大部分功能,因为代码中引用GitHub存储库的字符串暴露了滴管和RAT的部分功能。
文章来源于:https://threatpost.com/nerbian-rat-advanced-trick/179600/如若转载,请注明原文地址。
