BabbleLoader 맬웨어

멀웨어년에 Mezo 년까지

번역 :

사이버 보안 전문가들은 BabbleLoader라는 새로운 고도로 은밀한 위협을 식별했습니다. 이 위협은 White S nake 및 Meduza 와 같은 정보 도용 도구를 사용하는 것으로 관찰되었습니다.

BabbleLoader는 고급 회피 전술을 사용하여 바이러스 백신 프로그램과 샌드박스 환경을 우회하는 강력한 방어 메커니즘을 특징으로 합니다. 그 목적은 스틸러를 메모리에 직접 로드하는 것입니다. 보고서에 따르면 BabbleLoader는 영어와 러시아어를 사용하는 청중을 대상으로 하는 여러 캠페인에 사용되었습니다. 이러한 작업은 주로 크랙된 소프트웨어를 검색하는 사용자와 재무 및 관리 역할의 비즈니스 전문가에게 초점을 맞추고 회계 소프트웨어로 위장합니다.

맬웨어 공격에서 로더의 역할

로더는 스틸러와 랜섬웨어와 같은 위협을 배포하는 데 널리 사용되는 방법이 되었으며, 종종 공격의 초기 단계로 사용됩니다. 로더는 광범위한 안티 분석 및 샌드박싱 방지 기술을 통합하여 기존 바이러스 백신 탐지를 회피하도록 설계되었습니다.

이러한 추세는 최근 몇 년 동안 새로운 로더 패밀리의 지속적인 등장에서 분명하게 드러납니다. 예로는 Dolphin Loader, Emmental, FakeBat , Hijack Loader가 있으며, CryptBot , Lumma Stealer , SectopRAT , SmokeLoader , Ursnif 등 다양한 페이로드를 배포하는 데 활용되었습니다.

BabbleLoader는 수많은 회피 기술을 갖추고 있습니다

BabbleLoader는 전통적인 탐지 시스템과 AI 기반 탐지 시스템을 모두 속일 수 있는 정교한 회피 기술로 인해 두드러집니다. 이러한 방법에는 정크 코드와 변형 변환을 사용하여 로더의 구조와 실행 흐름을 변경하여 서명 기반 및 행동 분석을 우회하는 것이 포함됩니다.

로더는 런타임에만 중요한 기능을 해결하여 정적 분석을 피하고 샌드박스 기반 검사를 방해하는 조치를 취합니다. 또한 IDA, Ghidra, Binary Ninja와 같은 디스어셈블리 또는 디컴파일 도구를 압도하고 충돌시키도록 설계된 무의미한 코드를 과도하게 통합하여 수동 분석이 필요합니다.

BabbleLoader의 각 반복은 고유하게 제작되었으며, 고유한 문자열, 메타데이터, 코드, 해시, 암호화 방법 및 제어 흐름을 특징으로 합니다. 개별 샘플은 최소한의 코드 조각을 공유하지만, 구조는 주로 고유합니다. 파일 메타데이터조차도 패턴을 더욱 모호하게 하기 위해 무작위로 지정됩니다.

이러한 지속적인 변화로 인해 AI 감지 모델은 끊임없이 적응해야 하며, 로더 설계의 빠르고 예측 불가능한 변경으로 인해 감지를 놓치거나 거짓 양성 반응이 발생하는 경우가 많습니다.

BabbleLoader는 시스템의 추가적 손상을 위한 길을 닦습니다.

BabbleLoader의 핵심은 셸코드를 로드한 후 도넛 로더를 복호화하여 전달하고, 도넛 로더가 스틸러 맬웨어를 압축 해제하여 활성화하도록 설계되었습니다.

로더가 최종 페이로드를 보다 효과적으로 보호할수록 공격자가 손상된 인프라를 순환하는 데 투자해야 하는 리소스가 줄어듭니다. BabbleLoader는 다양한 기술을 사용하여 탐지로부터 자신을 보호하여 혼잡한 로더 및 크립터 환경에서 경쟁력을 유지할 수 있습니다.