黑客使用 Ezuri 内存加载器规避安全检测

最近，多个黑客开始使用Ezuri内存加载器，将恶意软件直接执行到受害者的内存中。

根据AT＆T的Alien Labs的研究人员的说法，恶意软件作者正在为其恶意代码选择Ezuri内存加载器。

专家指出，尽管这种技术在Windows恶意软件中很常见，但在Linux攻击中却很少。

“加载程序解密恶意软件并使用memfd create执行它（如 2018年此博客中所述）。创建进程时，系统将文件描述符返回到’/ proc / PID / fd /‘中的匿名文件，该文件仅在文件系统中可见。” 阅读AT＆T的Alien Labs发表的帖子。

研究人员在攻击中观察到的加载器是用Golang编写的，并借用了用户guitmz于2019年3月在GitHub上发布的Ezuri代码。用户将其项目描述为一个简单的Linux ELF运行时密码器，他编写了代码来演示如何使用memfd_create syscall从内存执行ELF二进制文件。

所述guitmz用户还测试其对VirusTotal代码以证明它是能够避免检测，特别是，他表明，能够获得零率检测为一个已知Linux.Cephei样品一旦被使用Ezuri代码（注入ddbb714157f2ef91c1ec350cdf1d1f545290967f61491404c81b4e6e52f5c41f） 。

执行代码后，它将询问用户要加密的有效负载的路径以及用于AES加密的密码，以将恶意软件隐藏在加载程序中。如果未提供密码，该工具将生成一个。然后，打包程序会使用内部加密的有效负载来编译加载程序，以便一旦将其交付到目标系统后就可以解密并在内存中执行。

8月，可能与“guitmz”相关联的用户“TMZ” 在成员共享恶意软件的论坛上发布了相同的代码。

AT＆T Alien Labs的研究人员在过去几个月中发现了几位利用Ezuri加载程序的恶意软件作者，其中之一是至少从2020年以来就一直活跃在TeamTNT中的威胁参与者。

TeamTNT僵尸网络是一种加密挖矿恶意软件操作，自4月以来一直处于活动状态，针对Docker安装，它是第一个窃取AWS凭证的加密挖矿机器人。

专家注意到，该小组还使用了与原始装载机相似的Ezuri装载机。

“2020年10月，Palo Alto Networks Unit42确定了TeamTNT使用的名为“ Black-T”的加密矿恶意软件的新变种。” 此示例首先安装三个网络扫描仪，然后检查内存以尝试检索位于内存中的任何类型的凭据。此外，Unit42在某些TNT脚本中识别了几个德语字符串。” 继续报告。*

“ Palo Alto Networks Unit42确定的最后一个样本实际上是Ezuri加载器。解密后的有效负载是带有UPX的ELF文件，它是TeamTNT的已知示例，最早出现在2020年6月（e15550481e89dbd154b875ce50cc5af4b49f9ff7b837d9ac5b5594e5d63966a3）。*

总之，这种加载器在vxer中很流行，例如所描述的将ELF二进制文件加载到内存中的技术。Ezuri允许恶意软件作者改善其操作，提高已知有效载荷的规避能力。

“数位恶意软件作者一直在使用开源Golang工具充当恶意软件加载器，并使用一种已知技术将ELF二进制文件加载到内存中，并避免在磁盘上使用易于检测的文件。” 总结报告。“作者使用开源工具Ezuri加载了以前看到的有效载荷，并避免了文件中的防病毒检测。”