恶意软件TxHollower使用“隐形”感染技术进行更新。
近期很多网络攻击的源自FormBook,LokiBot,SmokeLoader等恶意软件,而他们都是一种名为TxHollower的恶意软件更新版加载技术的“成果”。它被描述为一种新的“重大威胁”,使用TxHollower的攻击在过去一年中呈现快速“肆虐”增长趋势。
跟踪TxHollower的Ensilo研究人员周四表示,该软件进行了部分升级与功能改进,这些功能允许攻击者更有效地通过某些病毒软件防御软件的检测。
“我们今天看到的样本“隐形”技术做的很好,”Ensilo首席技术官兼联合创始人Udi Yavo称。改进包括TxHollower能够在检测到AV软件时处于休眠状态,并且能够绕过AV软件用于检测恶意软件的用户模式hook。
TxHollower是所谓的恶意软件加载程序,一种专门将第二阶段恶意软件载荷加载到受害者系统上的恶意代码。与从命令和控制服务器下载恶意文件的dropper恶意软件不同,加载器会隐藏实际加载器代码中的恶意软件载荷。
“这种装载机是一个重大的威胁,除了[分发] GandCrab【知名勒索软件】,它还提供了十几种其他有效载荷,如FormBook,LokiBot,SmokeLoader,AZORult,NetWire,njRat和Pony stealer,”Ensilo的安全研究小组负责人Omri Misgav在博客文章中概述了该感染技术。
Yavo表示,自去年研究人员首次开始跟踪TxHollower以来,一个不知名的犯罪集团或团体已经做了重大更新。他怀疑恶意软件是在网络黑市上发布的,这解释了恶意软件的广泛使用和传播。
“有效载荷的多样性和流通使人们很容易认为TxHollower与一些攻击性框架或漏洞利用工具包捆绑在一起,”Misgav写道。
TxHollower是各种各样的混合体,使用两个加载器 ,一个称为ProcessDoppelgänging,第二个叫做Process Hollowing。
ProcessDoppelgänging类似于Process Hollowing,其中攻击者用恶意代码替换合法进程的内存,从而规避了防病毒进程监视工具。
使用ProcessDoppelgänging,结果与Process Hollowing相同;但是,攻击者会滥用Windows NTFS事务和Windows进程加载器的过时实现。研究人员表示,该技术的主要目的是使用NTFS事务从事务处理文件中启动恶意进程,以使恶意进程看起来像是合法进程。
Ensilo报告中称“我们决定将加载程序命名为TxHollower,因为事务性NTFS API在文档中缩写为'TxF',Malwarebytes将其称为特定实现的'Transacted Hollowing'”
Yavo表示,TxHollower技术通过安全措施“偷袭”的能力是一个重大威胁。
“在攻击中使用类似技术的样例正在增加,这可能表明并非所有安全产品都能检测或阻止它们”
最早的TxHollower样本于2018年10月被发现。最新版本目前十分普及,最常见的有效载荷是SmokeLoader,NetWire和Remcos RAT。
IOCs Files (partial list)
ca1427ed05ad6f2ec495c41cb5c8ac1da4a596df037c1c4b4e6214256b5a936c (v1, NetWire)
e7d3181ef643d77bb33fe328d1ea58f512b4f27c8e6ed71935a2e7548f2facc0 (v2, Osiris)
49b769536224f160b6087dc866edf6445531c6136ab76b9d5079ce622b043200 (v2, GandCrab 5.0.3)
5af6a56ea050d1834dfc126602aa6ab47445bbbe98f7c43ada3b9cfb05872e2d (v3, AZORult)
14cf23d63d48a3189c483a62cfeba4f29d88b2e7bf40c33072332d3f897ce1db (v4, SmokeLoader)
0acfcc6d0bf014de656bf919741e72a66d75ea96d6f38c929d0540d7d12dab2a (v5, GandCrab 5.1)
6c3e11a29155473231b22e10cf9162293c78c7ec4e0bcfeb54b85fa10c60b005 (v2, MSI wrapper, FormBook)
b7b9713d2d43703ef4b66c2df66386453513be78efd25a50ffbe90db656fe472 (v5, TxHollower wrapper, REMCOS)
参考:
https://blog.ensilo.com/txhollower-process-doppelganging
https://threatpost.com/new-loader-variant-behind-widespread-malware-attacks/146683/