Proofpoint发现一种新发现的复杂远程访问木马(RAT)正在使用COVID-19诱饵通过恶意电子邮件活动广泛传播,并且可以执行多种功能来逃避分析或检测研究人员。根据周三发布的一篇Proofpoint博客文章,这种新的恶意软件变种被称为NerbianRAT,它是用与操作系统无关的Go编程语言编写的,并利用了显着的反分析和反扭曲功能。据研究人员介绍,Proofpoint研究人员在恶意软件代码中提到了基于命名功能的新软件,该功能似乎来自小说《堂吉诃德》中虚构的地方“Nerbia”。他们声称,Proofpoint研究人员首先在4月26日开始的低容量电子邮件活动中观察到RAT,该活动分布在多个行业,主要影响意大利、西班牙和英国的组织。研究人员写道,该病毒表现如下:这些电子邮件声称代表世界卫生组织(WHO)向受害人群提供有关COVID-19的重要信息。他们指出,这些消息实际上是对2020年爆发初期传播的类似网络钓鱼活动的回溯。帖子中共享的电子邮件样本试图使自己看起来来自WHO电子邮件地址,例如who.inter.svc@gmail[.]com和unceration@who-international[.]com,并使用WHO主题行或世卫组织。这些邮件包括与COVID-19防控相关的安全措施,以及名称中也包含“covid19”的附件,但这些文件实际上是包含恶意宏的Word文档。启用后,此类包含带有宏的文档,这些宏提供与COVID-19安全相关的信息,特别是有关自我隔离和照顾COVID-19患者的信息。研究人员写道,宏启用还促使该文件执行一个嵌入式宏,该宏删除了执行PowerShell进程的文件,将NerbianRATdropper放入一个名为UpdateUAV.exe的64位可执行文件中,该文件是用Go语言编写的。.研究人员指出,Go语言正在成为威胁行为者使用的一种越来越流行的语言,这可能是因为它的入门门槛低且易于使用。复杂性和逃避研究人员写道,NerbianRAT恶意软件利用分布在多个阶段的多个反分析组件,包括多个开源库。事实上,该恶意软件看起来很复杂,并且在三个不同的阶段运行。首先它从一个通过网络钓鱼传播的恶意文件开始,然后进入如上所述的UpdateUAV.exedropper,该dropper在执行NerbianRAT之前会执行各种环境扫描,例如反扭曲和反VM检查。最终,研究人员观察到RAT本身是通过加密的配置文件执行的,“非常小心”地通过安全套接字层(SSL)发送,以确保命令和控制(C&C)数据被加密,从而逃避网络扫描工具检查。他们说,除了与C&C通信外,该恶意软件还可以执行其他典型的RAT操作,包括键盘记录和屏幕捕获,但它们具有自己的特殊能力。RAT的键盘记录器以加密形式存储击键,而其屏幕捕获工具适用于所有操作系统平台。极端审查也许三阶段过程中最复杂的规避功能是在投放程序执行NerbianRAT之前发生的事情。据研究人员介绍,dropper会对被攻陷的主机进行全面的审计,如果遇到以下情况就会停止执行。根据研究人员的说法,这些条件包括:系统上的硬盘大小小于某个值,即100GB;根据WMI,硬盘名称包含“virtual”、“vbox”或“vmware”;查询的MAC地址返回一定的OUI值;或者如果在进程列表中遇到任何逆向工程/调试程序。如果进程列表中存在DumpIt.exe、RAMMap.exe、RAMMap64.exe或vmmap.exe内存分析/内存篡改程序,Dropper也会停止执行;如果特定功能的执行被认为“太长”,这表明正在调试Dropper中存在的时间测量功能。然而,尽管为了确保RAT在到达受害者机器的途中不被检测到而存在所有这些复杂性,研究人员指出,在充满UPX的样本之外,投放器和RAT本身不能被严重混淆——可以说这不一定是为了混淆,但只是为了减少可执行文件的大小。研究人员还发现,很容易推断出RAT和植入器的大部分功能,因为引用GitHub存储库的代码中的字符串暴露了植入器和RAT的部分功能。文章来源:https://threatpost.com/nerbian-rat-advanced-trick/179600/如有转载请注明出处。
