黑客使用 Ezuri 内存加载器规避安全检测

Andrew 2021-01-08
专栏 - 事件 发布于 2021-01-08 18:35:03 阅读 309 评论 0

最近,多个黑客开始使用Ezuri内存加载器,将恶意软件直接执行到受害者的内存中。

根据AT&T的Alien Labs的研究人员的说法,恶意软件作者正在为其恶意代码选择Ezuri内存加载器。

专家指出,尽管这种技术在Windows恶意软件中很常见,但在Linux攻击中却很少。

“加载程序解密恶意软件并使用memfd create执行它(如 2018年此博客中所述)。创建进程时,系统将文件描述符返回到’/ proc / PID / fd /‘中的匿名文件,该文件仅在文件系统中可见。” 阅读AT&T的Alien Labs发表的帖子。

研究人员在攻击中观察到的加载器是用Golang编写的,并借用了用户guitmz于2019年3月在GitHub上发布的Ezuri代码。用户将其项目描述为一个简单的Linux ELF运行时密码器,他编写了代码来演示如何使用memfd_create syscall从内存执行ELF二进制文件。

所述guitmz用户还测试其对VirusTotal代码以证明它是能够避免检测,特别是,他表明,能够获得零率检测为一个已知Linux.Cephei样品一旦被使用Ezuri代码(注入ddbb714157f2ef91c1ec350cdf1d1f545290967f61491404c81b4e6e52f5c41f) 。

执行代码后,它将询问用户要加密的有效负载的路径以及用于AES加密的密码,以将恶意软件隐藏在加载程序中。如果未提供密码,该工具将生成一个。然后,打包程序会使用内部加密的有效负载来编译加载程序,以便一旦将其交付到目标系统后就可以解密并在内存中执行。

埃祖里

8月,可能与“guitmz”相关联的用户“TMZ” 在成员共享恶意软件的论坛上发布了相同的代码。

AT&T Alien Labs的研究人员在过去几个月中发现了几位利用Ezuri加载程序的恶意软件作者,其中之一是至少从2020年以来就一直活跃在TeamTNT中的威胁参与者。

TeamTNT僵尸网络是一种加密挖矿恶意软件操作,自4月以来一直处于活动状态,针对Docker安装,它是第一个窃取AWS凭证的加密挖矿机器人。

专家注意到,该小组还使用了与原始装载机相似的Ezuri装载机。

“2020年10月,Palo Alto Networks Unit42确定了TeamTNT使用的名为“ Black-T”的加密矿恶意软件的新变种。” 此示例首先安装三个网络扫描仪,然后检查内存以尝试检索位于内存中的任何类型的凭据。此外,Unit42在某些TNT脚本中识别了几个德语字符串。” 继续报告。*

“ Palo Alto Networks Unit42确定的最后一个样本实际上是Ezuri加载器。解密后的有效负载是带有UPX的ELF文件,它是TeamTNT的已知示例,最早出现在2020年6月(e15550481e89dbd154b875ce50cc5af4b49f9ff7b837d9ac5b5594e5d63966a3)。*

总之,这种加载器在vxer中很流行,例如所描述的将ELF二进制文件加载到内存中的技术。Ezuri允许恶意软件作者改善其操作,提高已知有效载荷的规避能力。

“数位恶意软件作者一直在使用开源Golang工具充当恶意软件加载器,并使用一种已知技术将ELF二进制文件加载到内存中,并避免在磁盘上使用易于检测的文件。” 总结报告。“作者使用开源工具Ezuri加载了以前看到的有效载荷,并避免了文件中的防病毒检测。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!