高度複雜的寄生蟲RAT已出現在暗網

近日，Proofpoint研究人員在暗網觀察到了一種新型攻擊活動——遠程訪問木馬（Remote Access Trojan，RAT），通過跟蹤研究，到目前為止，這只是一個小型的惡意電子郵件攻擊活動。然而，研究人員卻發現這個遠程訪問木馬不簡單，它含有一長串令人印象深刻的複雜功能列表，研究人員將其稱為「寄生蟲HTTP（Parasite HTTP）」，這引發了研究人員對未來可能發生攻擊的擔憂。

該惡意軟體在暗網上的廣告中是這樣被介紹的：

寄生蟲HTTP是一種經過專業編碼的模塊化遠程管理工具，它是在windows系統中用C語言編寫的，除此之外它和windows系統沒有任何關係，能用於任何系統。另外，憑藉大約49K的存根大小和插件支持，寄生蟲HTTP提供了遠程控制大量計算機的完美解決方案。

當然，與大多數RAT一樣，寄生蟲 HTTP提供大量的信息竊取功能，其中的VNC (Virtual Network Console)可以悄悄的觀察或控制PC，還有用於繞過許可權用戶管理，除此之外，還有繞過防火牆、對感染的系統實施持久性攻擊、向白名單系統進程注入等功能。而且，與合法軟體一樣，寄生蟲HTTP還包括管理員許可權，如備份，分析視圖和活動統計信息、帶有驗證碼的安全登錄頁面、高級任務管理系統和密碼恢復。另外，寄生蟲HTTP還可以為C2通信提供加密功能。

不過，寄生蟲HTTP真正獨特的地方在於它所包含的一系列沙盒檢測、反調試、反模擬和其他保護措施，以逃避檢測和分析。

在周三的一篇文章中，Proofpoint的研究人員表示：

惡意軟體的開發者不斷創新，以逃避檢測機制並提高攻擊成功率，寄生蟲HTTP提供了許多最先進的技術樣本，比如避免在沙盒和自動反惡意軟體系統中被檢測到。

這個惡意軟體本質上也是模塊化的，它允許攻擊者在必要時時添加其他新功能或在攻擊成功後下載其他功能模塊。

Proofpoint的趨勢安全主管Sherrod DeGrippo告訴Threatpost：

將如此多的技術聚合到一個惡意軟體中，並不常見，這標誌著一種新型的攻擊技術可能即將出現。我們經常看到這些技術中的一種或幾種出現在各種惡意軟體中，但是把所有這些技術都放在一個惡意軟體中，則是不尋常的。

根據Proofpoint的說法，此惡意軟體發起的垃圾郵件活動表面上看去卻相當簡單，本次發現的樣本，進針對IT、醫療保健和零售行業，攻擊者會將發送的Word文檔郵件，偽造成所在組織的人力資源簡歷調查格式。當受害者打開附件後，惡意文檔使用注入惡意代碼的宏從遠程站點獲取寄生蟲HTTP。不過研究人員卻表示，雖然此次的攻擊手段很常見，但是寄生蟲HTTP卻應該引起安全人員的警惕。

根據Proofpoint的說法：

對於消費者、組織和安全維護者來說，寄生蟲HTTP代表了惡意軟體持續軍備競賽的最新態勢，甚至延伸到寄生蟲等商業化的惡意軟體。雖然我們目前只在一個小型攻擊活動中觀察過寄生蟲HTTP，但我們認為這些在寄生中使用的惡意功能很快就會其他惡意軟體所採用的。

DeGrippo告訴Threatpost：

目前來說，逃避技術相當強大的這個RAT，利用複雜的反分析功能，很難被檢測到，而且它目前已經可以被隨意購買了，這意味著，無論是防禦者還是組織都需要實現動態檢測能力的提升，其中包括深度威脅情報挖掘。

最先進的逃避技術

本文中，研究人員詳細介紹了寄生蟲HTTP最有趣的幾種逃避功能，包括字元串混淆，通過睡眠操作逃避沙盒檢測，使用Github的研究員代碼進行沙盒檢測等。

在執行字元串混淆時，寄生蟲HTTP就會包含四個常式，且有一個6位元組的標頭。研究人員說：

不管是哪種類型的字元串，是ASCII還是Unicode，其中都含有兩個變體，其中一個變體負責將混淆了的字元串保留在適當的位置，並返回一個動態分配、不混淆的字元串版本；而另一個變體則使用VirtualProtect來對字元串進行反混淆處理，在執行反混淆後再將XOR鍵設置為0這樣攻擊者在以後訪問字元串時就可以跳過混淆檢測了。

另外，寄生蟲HTTP還使用睡眠常式來延遲執行並檢查沙盒或虛擬測試。睡眠間隔以10毫秒為一個周期，在這個時間裡，睡眠常式還會同時通過檢查時間的流逝和自身對斷點指令的處理來檢測沙盒環境。研究人員解釋說：

寄生蟲HTTP自己設置的虛擬沙盒會以900毫秒或2秒為單位進行檢測，而正常的沙盒則是以1秒為單位進行檢測，例如，像[Github]中提供的代碼中含有沙盒檢測，則它會與這個特定的虛擬沙盒檢查相衝突。

更重要的是，寄生蟲HTTP會根據Github的代碼來進行自我調整，以適應沙盒檢測的目的。研究人員分析到，這些代碼是逐字複製的，API解析度（API resolution）被自己的內部代碼替換，列印件被刪除，文件和環境變數名稱隨機生成。同時，當寄生蟲HTTP確實檢測到沙盒時，它不會突然做出任何可能讓研究人員感到意外的舉動，比如突然停止運行。

研究人員說：

惡意軟體並不是簡單的退出或顯示錯誤，而是通過複雜操作，讓研究人員分析它無法正常運行和崩潰的原因。寄生蟲HTTP在嘗試使用跳過其分配的緩衝區時，會以一種聰明的方式使用沙盒檢測稍後崩潰。

同時，寄生蟲HTTP通過使用DLL重映射技術隱藏進程注入等行為來解析某些關鍵API。

據Proofpoint稱：

據我們所知，儘管之前有文獻記載過該技術，但它並沒有在其主流的惡意軟體家族中被發現過。

在初始過程中，寄生蟲HTTP通過從磁碟讀取DLL並將每個導出函數的前5個位元組與內存中當前映射版本中的每個位元組進行比較，從而刪除上述DLL上的Hook，這使寄生蟲HTTP的活動更加隱蔽。研究人員指出：

雖然這種技術在理論上沒有多大用處，沒有使用任何指令解碼器，並且將自身限制在5個硬編碼位元組內，但它在實踐中是有效的。映射NTDLL的新副本可以有效的為它提供了一個副本，此時就不會存在放在初始NTDLL映射上的任何Hook，這使得它的線程注入和註冊表修改對大多數用戶不可見，並且連接實現也是不可見的。此外，由於這種映射是通過NtOpenSection和NtMapViewOfSection完成的，因此它不會涉及到其他技術變體為實現相同目標而使用的典型的文件系統api調用。

最後，它還使用了GitHub上的附加代碼，對關鍵函數中的斷點進行了混淆檢查。研究人員表示：

這個功能只在一個地方使用，就是在檢測它們是否在有沙盒檢測環境的情況下運行，不過值得慶幸的是，它的混淆檢查目前還不是很成熟。另外，值得注意的是，混淆檢查技術對於任意代碼來說是低級和不可靠的，因為無意的0xcc位元組可以通過特定的指令編碼、局部堆棧幀（local stack frame ）偏移量、相對引用、間接地址或直接常量在對代碼的逐位元組掃描中找到。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！