یک موتور مبهم بدافزار کاملاً غیرقابل کشف (FUD) به نام BatCloak برای استقرار گونههای مختلف بدافزار از سپتامبر 2022 استفاده میشود، در حالی که دائماً از شناسایی آنتیویروس طفره میرود.
محققان Trend Micro گفتند که این نمونهها به عوامل تهدید این امکان را میدهند که خانوادههای بدافزار و سوء استفادههای متعددی را به آسانی از طریق فایلهای دستهای بسیار مبهم بارگیری کنند.
این شرکت امنیت سایبری اضافه کرد که حدود 79.6 درصد از کل 784 مصنوع کشف شده در تمام راه حل های امنیتی هیچ شناسایی ندارند و توانایی BatCloak برای دور زدن مکانیسم های تشخیص سنتی را برجسته می کند.
موتور BatCloak هسته یک ابزار سازنده فایل دستهای به نام Jlaive را تشکیل میدهد که دارای قابلیتهایی برای دور زدن رابط اسکن ضد بدافزار (AMSI) و همچنین فشردهسازی و رمزگذاری بار اولیه برای دستیابی به فرار امنیتی شدید است.
این ابزار منبع باز، اگرچه از زمانی که از طریق GitHub و GitLab در سپتامبر 2022 توسط توسعهدهندهای به نام ch2sh در دسترس قرار گرفت، حذف شد، اما بهعنوان «رمزگذار EXE به BAT» تبلیغ شده است. از آن زمان توسط بازیگران دیگر شبیه سازی و اصلاح شده و به زبان هایی مانند Rust منتقل شده است.
بدافزار کاملا غیرقابل شناسایی
بار نهایی با استفاده از سه لایه لودر کپسوله می شود - یک لودر سی شارپ، یک لودر پاورشل و یک بارگذاری دسته ای - که آخرین آنها به عنوان نقطه شروع برای رمزگشایی و باز کردن هر مرحله و در نهایت منفجر شدن بدافزار پنهان عمل می کند.
محققین پیتر گیرنوس و علیاکبر زهراوی میگویند: «بچ لودر حاوی یک بارگذار PowerShell مبهم و یک باینری خرد C# است. "در پایان، Jlaive از BatCloak به عنوان یک موتور مبهم سازی فایل استفاده می کند تا بارگذار دسته ای را مبهم کند و آن را روی دیسک ذخیره کند."
گفته میشود که BatCloak از زمان ظهورش در طبیعت بهروزرسانیها و انطباقهای متعددی دریافت کرده است، آخرین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با عملیات cryptojack کردن توسط گروه 8220 برجسته شد.
تصمیم برای انتقال از یک چارچوب منبع باز به یک مدل منبع بسته، که توسط توسعه دهنده ScrubCrypt گرفته شده است، را می توان به دستاوردهای پروژه های قبلی مانند Jlaive و همچنین تمایل به کسب درآمد از پروژه و محافظت از آن نسبت داد. در مقابل تکثیر غیرمجاز، محققان گفتند.
علاوه بر این، ScrubCrypt به گونهای طراحی شده است که با خانوادههای بدافزار معروف مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT قابل همکاری باشد.
محققان نتیجه گرفتند: «تکامل BatCloak بر انعطافپذیری و سازگاری این موتور تأکید میکند و توسعه مبهمکنندههای دستهای FUD را برجسته میکند». "این نشان دهنده حضور این تکنیک در سراسر چشم انداز تهدید مدرن است."
محققان Trend Micro گفتند که این نمونهها به عوامل تهدید این امکان را میدهند که خانوادههای بدافزار و سوء استفادههای متعددی را به آسانی از طریق فایلهای دستهای بسیار مبهم بارگیری کنند.
این شرکت امنیت سایبری اضافه کرد که حدود 79.6 درصد از کل 784 مصنوع کشف شده در تمام راه حل های امنیتی هیچ شناسایی ندارند و توانایی BatCloak برای دور زدن مکانیسم های تشخیص سنتی را برجسته می کند.
موتور BatCloak هسته یک ابزار سازنده فایل دستهای به نام Jlaive را تشکیل میدهد که دارای قابلیتهایی برای دور زدن رابط اسکن ضد بدافزار (AMSI) و همچنین فشردهسازی و رمزگذاری بار اولیه برای دستیابی به فرار امنیتی شدید است.
این ابزار منبع باز، اگرچه از زمانی که از طریق GitHub و GitLab در سپتامبر 2022 توسط توسعهدهندهای به نام ch2sh در دسترس قرار گرفت، حذف شد، اما بهعنوان «رمزگذار EXE به BAT» تبلیغ شده است. از آن زمان توسط بازیگران دیگر شبیه سازی و اصلاح شده و به زبان هایی مانند Rust منتقل شده است.
بدافزار کاملا غیرقابل شناسایی
بار نهایی با استفاده از سه لایه لودر کپسوله می شود - یک لودر سی شارپ، یک لودر پاورشل و یک بارگذاری دسته ای - که آخرین آنها به عنوان نقطه شروع برای رمزگشایی و باز کردن هر مرحله و در نهایت منفجر شدن بدافزار پنهان عمل می کند.
محققین پیتر گیرنوس و علیاکبر زهراوی میگویند: «بچ لودر حاوی یک بارگذار PowerShell مبهم و یک باینری خرد C# است. "در پایان، Jlaive از BatCloak به عنوان یک موتور مبهم سازی فایل استفاده می کند تا بارگذار دسته ای را مبهم کند و آن را روی دیسک ذخیره کند."
گفته میشود که BatCloak از زمان ظهورش در طبیعت بهروزرسانیها و انطباقهای متعددی دریافت کرده است، آخرین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با عملیات cryptojack کردن توسط گروه 8220 برجسته شد.
تصمیم برای انتقال از یک چارچوب منبع باز به یک مدل منبع بسته، که توسط توسعه دهنده ScrubCrypt گرفته شده است، را می توان به دستاوردهای پروژه های قبلی مانند Jlaive و همچنین تمایل به کسب درآمد از پروژه و محافظت از آن نسبت داد. در مقابل تکثیر غیرمجاز، محققان گفتند.
علاوه بر این، ScrubCrypt به گونهای طراحی شده است که با خانوادههای بدافزار معروف مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT قابل همکاری باشد.
محققان نتیجه گرفتند: «تکامل BatCloak بر انعطافپذیری و سازگاری این موتور تأکید میکند و توسعه مبهمکنندههای دستهای FUD را برجسته میکند». "این نشان دهنده حضور این تکنیک در سراسر چشم انداز تهدید مدرن است."