BatCloak 엔진의 힘 발휘: 사이버 범죄자들이 완벽한 맬웨어 스텔스 달성

2022년 9월부터 사이버 범죄자들은 강력하고 완전히 탐지할 수 없는(FUD) 맬웨어 난독화 엔진인 BatCloak을 활용하여 다양한 맬웨어 변종을 배포했습니다. 바이러스 백신 소프트웨어의 지속적인 노력에도 불구하고 BatCloak은 탐지를 회피하여 위협 행위자가 난독화된 배치 파일을 통해 다양한 맬웨어 계열 및 익스플로잇을 원활하게 로드할 수 있도록 했습니다.

Trend Micro의 연구원에 따르면 발견된 784개의 아티팩트 중 놀라운 79.6%가 모든 보안 솔루션에서 탐지되지 않은 상태로 남아 있으며 이는 기존 탐지 메커니즘을 우회하는 BatCloak의 효율성을 강조합니다.

BatCloak 엔진의 역학

상용 배치 파일 빌더인 Jlaive는 고급 보안 회피를 위해 강력한 BatCloak 엔진을 사용합니다. AMSI(Antimalware Scan Interface)를 우회하고 페이로드를 암호화 및 압축할 수 있으며 "EXE to BAT 크립터" 역할을 합니다.

오픈 소스 도구가 2022년 9월 ch2sh에 의해 출시된 직후 GitHub와 GitLab에서 사라졌지만, 다른 행위자들은 복제, 수정, 심지어 Rust로 포팅했습니다. 최종 페이로드는 C# 로더, PowerShell 로더 및 배치 로더의 세 가지 로더 계층 내에 숨겨져 있습니다. 시작점인 이 배치 로더는 각 단계를 해독하고 압축을 풀어 숨겨진 악성코드를 활성화합니다. 연구원 Peter Girnus와 Aliakbar Zahravi는 배치 로더 내에 암호화된 C# 스텁 바이너리와 난독화된 PowerShell 로더의 존재를 강조했습니다. 궁극적으로 Jlaive는 BatCloak을 파일 난독화 엔진으로 활용하여 배치 로더를 보호하고 디스크에 저장합니다.

ScrubCrypt: BatCloak의 차세대 진화

매우 동적인 맬웨어 난독화 엔진인 BatCloak은 처음 등장한 이후 상당한 발전과 적응을 거쳤습니다. ScrubCrypt로 알려진 최근 반복 중 하나는 Fortinet FortiGuard Labs가 이를 악명 높은 8220 Gang이 조직한 크립토재킹 캠페인에 연결하면서 주목을 받았습니다. 오픈 소스 프레임워크에서 폐쇄 소스 모델로 전환하기로 한 개발자의 결정은 Jlaive와 같은 이전 벤처의 성공과 프로젝트를 수익화하고 무단 복제로부터 프로젝트를 보호한다는 목표에 동기를 부여했습니다.

연구원들은 ScrubCrypt가 Amadey , AsyncRAT , DarkCrystal RAT , Pure Miner, Quasar RAT , RedLine Stealer , Remcos RAT , SmokeLoader , VenomRAT 및 Warzone RAT 를 포함한 다양한 주요 악성코드 제품군과 원활하게 통합된다고 주장합니다. BatCloak의 이러한 진화는 강력한 FUD 배치 난독화 장치로서의 적응성과 다재다능함을 보여주며 끊임없이 진화하는 위협 환경에서 널리 퍼져 있음을 강조합니다.