多款恶意软件使用EzuriMemoryLoader进行保护,让安全产品无法检测到它们的恶意代码。Ezuri在GitHub上提供用Golang编写的源代码,在恶意软件中越来越受欢迎。Ezuri解密内存中的有效负载根据AT&TAlienLabs发布的分析,多个攻击者正在使用Ezuri来加密他们的恶意软件并逃避安全产品的检测。虽然Windows恶意软件以类似的方式工作,但攻击者现在也在Linux平台上使用Ezuri来实现这一目标。Ezuri用Go语言编写,同时充当Linux二进制文件的加密器和加载器。Ezuri使用AES加密恶意软件代码,并在解密后直接在内存中执行有效载荷,而不会在磁盘上丢失任何文件。Ezuri的创建者GuilhermeThomaziBonicontro(“guitmz”)于2019年在GitHub上开源了代码,并在他的博文中首次展示了该工具的功能。“此外,用户‘TMZ’(可能与前面提到的‘guitmz’有关)在8月下旬在一个共享恶意软件样本的小型论坛上发布了相同的代码,”AT&TAlienLabsMartinez的研究人员OferCaspi和Fernando解释说。研究人员指出,在解密AES加密的有效负载后,Ezuri立即将结果作为参数传递给runFromMemory函数,而没有在受感染主机上释放文件。VirusTotal的检测率接近于零AT&T的研究表明,通常有一半的恶意软件样本在使用Ezuri加密时被VirusTotal上的防病毒引擎攻击,检测率接近于零。到目前为止,使用Ezuri加密的样本在VirusTotal上的检测率不到5%。在过去的几个月里,多名攻击者积极使用Ezuri,Caspi和Martinez已经确定了几个将他们的样本与Ezuri捆绑在一起的恶意软件。其中包括自2020年4月以来活跃的网络犯罪集团TeamTnT。最初,TeamTnT会攻击配置错误的Docker服务,将受感染的主机变成DDoS机器人和挖矿机。后来,TeamTnT的一个变体将从内存中提取AWS凭证。PaloAltoNetworksUnit42发现的变体之一(Black-T)实际上使用了Ezuri加密。“解密后的有效载荷是一个UPX打包的ELF文件,最早出现于2020年6月。详细信息可以在ATT&T的分析文章中找到。参考来源:BleepingComputer
