暗網出現複雜RAT

「用指尖改變世界」

Proofpoint研究人員正在跟蹤地下市場上的遠程訪問木馬（RAT），到目前為止，這只是一個小型的惡意電子郵件活動，發現者命名為「Parasite HTTP」。然而，研究人員發現它的功能列表複雜而令人印象深刻，這引發了人們對它潛在攻擊性的擔憂。

暗網上惡意軟體Parasite HTTP的廣告中寫道：「Parasite HTTP是一種專業編碼的模塊化遠程管理工具，用於以C語言編寫的Windows，除了操作系統本身之外沒有依賴關係。存根大小約為49kb，支持插件，是遠程控制大量計算機的完美解決方案。」廣告宣傳它可以繞過防火牆，可選的系統範圍持久性和注入系統進程白名單等功能。而且，與合法軟體一樣，Parasite HTTP包含用戶管理方面，比如C2通信、備份、分析視圖和活動統計信息的特色加密、帶有驗證碼的安全登錄頁面、高級任務管理系統和密碼恢復。它真正的亮點是沙箱檢測、反調試、反模擬和其他保護，以逃避檢測和分析。

研究者指出，威脅行為者和惡意軟體作者不斷創新，以逃避防禦並提高感染率。Parasite HTTP提供了許多用於避免沙箱檢測和通過自動反惡意軟體系統檢測的最新技術示例。惡意軟體在本質上也是模塊化的，允許參與者在可用時添加新的功能，或者在感染後下載其他模塊。

根據Proofpoint的說法，「RAT聚集」的垃圾郵件活動相當直接。它針對IT、醫療保健和零售行業，使用人力資源分發列表和Word文檔附件，聲稱是簡歷和簡歷。打開後，文檔使用武器化宏從遠程站點獲取Parasite HTTP。研究人員認為，雖然攻擊媒介很常見，但是安全社區應該注意Parasite HTTP。他們寫道：「對於消費者，組織和維護者來說，這代表持續惡意軟體軍備競賽的最新升級，甚至延伸到了商品惡意軟體。雖然我們目前只在一個小型廣告系列中觀察過Parasite HTTP，但我們希望看到Parasite中使用的功能繼續傳播到其他惡意軟體變體中。」

最先進的逃避技術

研究人員詳細介紹了幾種Parasite HTTP最有趣的逃避屬性：混淆的字元串、通過睡眠操縱的沙箱逃避、使用Github的研究員代碼進行沙箱檢測等。

當提到到混淆的代碼字元串時，Parasite HTTP包含四個常式，前面是一個6位元組的標頭。每種類型的字元串，ASCII或Unicode，一個變體留下混淆的字元串，並返回一個動態分配，去混淆的字元串版本。另一個變體使用VirtualProtect對字元串進行混淆處理，在執行反混淆後將XOR鍵設置為0，這有效地在將來訪問字元串時跳過了去混淆。

Parasite HTTP還使用睡眠常式來延遲執行並檢查沙箱或模擬。它以10毫秒的間隔睡眠，同時通過檢查時間的流逝並且不干擾其自身的斷點指令處理來檢測沙箱環境。研究人員解釋說:「沙盒檢查程序……檢查是否在900毫秒到兩秒之間以響應該程序的一秒睡眠，並將其分為10ms增量。使用類似[Github]中可用的代碼的沙箱，會與這個特殊的沙箱檢查發生衝突。」

Parasite HTTP從Github調整代碼以適應其自身的沙箱檢測目的。該代碼逐字複製，API解析度被自己的內部代碼替換，列印文件被刪除，並隨機生成文件和環境變數名稱。同時，當Parasite HTTP確實檢測到沙箱時，它不會產生任何可能使研究人員感到意外的舉動。它不會簡單地退出或拋出錯誤，而是讓研究人員難以確定惡意軟體無法正常運行和崩潰的原因。Parasite HTTP以一種聰明的方式使用沙箱檢測，試圖使用跳過分配的緩衝區，從而導致以後的崩潰。

同時，Parasite HTTP通過使用DLL重映射技術隱藏行為注入等行為來解析某些關鍵API。在初始過程中，Parasite HTTP通過從磁碟讀取它們並將每個導出函數的前五個位元組與內存中當前映射版本中存在的函數進行比較來刪除上述DLL上的掛鉤。這讓它的活動難以被察覺。

「儘管這種技術在實現上很『幼稚』，沒有使用任何指令解碼器並將其自身限制在五個硬編碼位元組，但它在實踐中是有效的。映射NTDLL的新副本有效地為它提供了一個副本，沒有放在初始NTDLL映射上的任何鉤子，使得它的線程注入和註冊表修改甚至連接實現對大多數用戶不可見。此外，由於這種映射是通過NtOpenSection和NtMapViewOfSection完成的，因此它不會涉及對該技術的其他變體使用典型的文件系統API的調用實現相同的目標。」

最後，它使用來自GitHub的附加代碼，對關鍵函數中的斷點進行了模糊檢查。此功能僅用於在一個位置檢查惡意軟體中調用沙箱檢測的單個功能。值得注意的是，這種技術對於任意代碼來說是天真和不可靠的，因為無意的0xcc位元組可以通過特定的指令編碼、本地堆棧幀偏移、相對引用、間接地址或直接常量來實現。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！