恶意软件加载器通过“天堂之门”技术规避安全检测

作者:???深圳市网安计算机安全检测技术有限公司 2019/07/03 10:19:26 110次阅读 国际
文章来源:https://www.freebuf.com/news/207403.html

? ??????来自思科Talos团队的安全研究人员近日发现了经过特殊设计的恶意软件加载器,可在受感染的设备上通过注入内存来释放恶意负载,规避防病毒软件和其他安全工具的检测。

1.jpg

????????思科安全专家表示,该恶意软件加载器使用了流传已久的“天堂之门(Heaven’s Gate)技术实现,该技术能够让32位应用运行于64位系统上时隐藏API调用,进而实现一系列设计功能。恶意软件的开发人员将其作为对抗安全软件的有效手段添加到他们的”产品“之中,可大幅延后恶意软件被安全软件检测到的时间节点。

????????这款恶意软件加载器已经被发现用于多个不同类型的恶意软件攻击活动中,包括?HawkEye Reborn键盘记录器、?Remcos远程访问工具(RAT)和多个基于XMR的挖矿软件

????????这样的情况揭示了一种趋势,即网络犯罪分子并不需要太高超的研发能力就能把类似”Heaven’s Gate“的高级技术添加到恶意软件中,进而大幅提高网络攻击的成功率。下图就是一个很好的例子。

RegAsm Injection.png

RegAsm劫持

????????正如思科Talos研究人员所发现的那样,恶意软件负载隐藏经过封装和混淆的加载器,该加载器将解压缩并利用”进程空洞“将其注入合法的RegAsm.exe进程中。RegAsm.exe将由处于挂起状态的恶意软件加载器创建,随后其内存将被取消映射并替换为恶意负载,也就是说加载器释放的恶意负载不会写入受感染设备的磁盘,安全软件很难检测到它。

????????根据思科专家的说法,这种攻击技术无法通过传统的安全软件和主动防御技术彻底防御,因为它基于操作系统本身自带的功能实现。 举个例子,如果通过技术手段减少特定API调用可能会产生副作用,首当其冲的就是安全软件的正常运行无法得到保障。

????????此外,除了前面提到的混淆技术之外,该恶意软件加载器还通过在32位系统上使用sysenter指令和x64系统上的Heaven’s Gate技术使用直接系统调用来模糊一些API调用。如此一来,恶意代码能够在32位和64位系统之间转换,导致一些调试器和防病毒软件完全”错过“这些调用活动,只要攻击人员避免在提供WOW64支持的64位系统上运行32位应用并直接启动针对64位应用的调用即可。

Switch from 32-bit to 64-bit code.png

????????32位代码转换为64位代码

????????再举一个例子,安全研究人员发现传播该恶意加载器的广告软件系统使用”Malspam欺诈邮件”作为分发渠道,该欺诈邮件攻击滥用Microsoft公式编辑器的CVE-2017-11882?Microsoft Office内存损坏远程执行代码漏洞。恶意软件会伪装成使用Microsoft Word文档和Microsoft Excel生成的发票、银行对帐单和其他相关文档,附件被打开后积灰从攻击者控制的服务器下载恶意软件加载器。

????????此类攻击活动的活跃度越来越高,每天都有新的受感染设备信息被上传到攻击者控制的服务器。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室