TrickBot恶意软件使用模糊的Windows批处理脚本逃避检测

随着TrickBot的第100版发布,该恶意软件配备了新的和先进的回避功能。其中一种功能是使用混淆的批处理脚本启动器来快速启动恶意可执行文件。

批处理脚本不需要解释器,而是Microsoft Windows的内置命令提示符,这一事实使这种逃避技术变得自成体系且简约。

TrickBot通过混淆的BAT脚本部署勒索软件

上周末,BleepingComputer的Lawrence Abrams分析了TrickBot的第100个版本及其新功能。

TrickBot是一种恶意软件感染,通常通过恶意网络钓鱼电子邮件或其他恶意软件来安装。安装后,TrickBot将在受害者的计算机上安静地运行,同时下载其他模块以执行不同的任务。

众所周知,TrickBot通过允许威胁参与者访问已完成攻击的行为,这些威胁参与者在受感染的网络上部署了Ryuk或Conti勒索软件。

在我们的分析中,BleepingComputer已经观察到BAT脚本 launcher.bat 正在由TrickBot设置的计划任务运行。

计划任务启动launcher.bat技巧机器人
运行launcher.bat的计划任务 
来源:BleepingComputer

无论是 launcher.bat 和可执行它的推出是存在于同一个目录,由BleepingComputer,其位置看起来像观察到:

C:\ Users \(用户名)\ AppData \ Roaming \ IdentitiesXXXXXXXXXX \

但是,使用如下所示的混淆批处理脚本来启动可执行文件可能是在企业安全产品的关注范围内飞涨的另一功能。

特技机器人混淆脚本使计算机分析
模糊的批处理脚本launcher.bat  进一步运行EXE有效负载
来源:BleepingComputer

最近,Huntress Labs的研究人员发现了另一个TrickBot示例,该示例使用了类似的批处理脚本以及40行以上的混淆代码。

解密后,所有代码都将启动恶意软件,而该行为可能仅由一行代码触发:

开始C:\ Users \██████████\ AppData \ Roaming \ Identities1603031315 \ ulib8b4.exe

有问题的二进制文件“ ulib8b4.exe ”是TrickBot的有效载荷,其执行各种恶意活动,包括窃取域的Active Directory服务数据库, 在网络上横向传播, 屏幕锁, 窃取cookie和浏览器密码以及窃取OpenSSH密钥。

Huntress Labs的高级安全研究员John Hammond说:“系统管理员经常使用批处理脚本来简化生活并加快工作流程。”

“但是,由于这提供了对计算机系统的强大访问权限,威胁参与者和恶意软件家族也同样可以利用.bat文件。”

Hammond指出,尽管防病毒产品可以轻松扫描纯文本批处理脚本,但是攻击者经过多个步骤来混淆简单的单行命令这一事实实际上将使“现成的” EDR或基于签名的加密几乎不可能防病毒产品以检测此类样本。

此外,鉴于攻击者可以通过多种方式混淆相同的有效负载,而每种负载均产生不同的签名,因此可以避免签名检测。

“从表面上看,这段代码是完全难以理解的。它看起来像是随机字母,按随机顺序排列,周围到处都是随机百分号。但是cmd.exe会解释并执行它,而老式的shell是黑客知道将在目标系统上进行尝试并构建真正的内置程序。”

为什么混淆的批处理脚本是唯一的问题?

BleepingComputer问Hammond,考虑到混淆技术不仅限于批处理脚本,为什么在恶意软件中使用BAT文件是唯一的问题。

换句话说,包含纯文本代码而不是二进制数据的NodeJS文件和Python脚本也可能被混淆。

Hammond告诉BleepingComputer:“您绝对正确-它很可能是任何文件或任何其他语言的代码。我认为BAT / cmd.exe脚本最有趣的头是它是Windows固有的并且是Windows固有的操作系统,因此不需要任何外部编译器或其他任何方式即可使代码在目标上执行。”

此外,研究人员告诉我们,由于批处理脚本中的所有字符都是ASCII可打印字符,而不是二进制代码,因此在绕过防病毒程序审查的同时,更容易通过网络传输脚本。

“我们经常谈论“陆地上的二进制文件”,这是一个奇特的二进制文件,因为它与其说是“二进制文件”,不如说是一种武器化二进制文件的技巧。”

“当然,由于所有字符都是ASCII可打印字符,因此可以轻松地通过网络发送此代码段,并且由于没有任何明显的’坏字符串’或恶意签名,因此EDR或AV程序可能会忽略它。”研究人员告诉BleepingComputer。

Huntress Labs对混淆技术的详细见解可在其报告中找到 。

Hammond在YouTube上也演示了这种混淆技术的改进版本。

*编译:Domino

*来自:bleepingcomputer