BabbleLoader 恶意软件
网络安全专家发现了一种名为 BabbleLoader 的高度隐蔽的新型威胁,据观察该威胁会部署White S nake和Meduza等信息窃取工具。
BabbleLoader 采用先进的逃避策略,具有强大的防御机制,可以绕过防病毒程序和沙盒环境。其目的是将窃取程序直接加载到内存中。报告显示,BabbleLoader 已在针对英语和俄语受众的多个活动中使用。这些行动主要针对寻找破解软件的用户和从事财务和行政工作的商业人士,伪装成会计软件。
目录
加载程序在恶意软件攻击中的作用
加载器已成为部署窃取程序和勒索软件等威胁的广泛使用方法,通常用作攻击的初始阶段。它们旨在通过集成广泛的反分析和反沙盒技术来逃避传统的防病毒检测。
这一趋势在近年来不断涌现的新加载器家族中得到了明显体现。例如 Dolphin Loader、Emmental、 FakeBat和Hijack Loader ,它们被用来分发各种有效载荷,包括CryptBot 、 Lumma Stealer 、 SectopRAT 、 SmokeLoader和Ursnif 。
BabbleLoader 配备了多种规避技术
BabbleLoader 因其复杂的规避技术而脱颖而出,这些技术可以欺骗传统和人工智能驱动的检测系统。这些方法包括使用垃圾代码和变形转换,这些方法可以改变加载器的结构和执行流程,以绕过基于签名和行为的分析。
该加载程序通过仅在运行时解析关键函数来避免静态分析,并采取措施阻止基于沙盒的检查。此外,它还包含大量无意义的代码,旨在压倒和崩溃 IDA、Ghidra 和 Binary Ninja 等反汇编或反编译工具,从而需要手动分析。
BabbleLoader 的每次迭代都是独一无二的,具有不同的字符串、元数据、代码、哈希、加密方法和控制流。虽然各个样本共享最少的代码片段,但它们的结构主要是独一无二的。甚至文件元数据也被随机化,以进一步隐藏模式。
这种持续的变化迫使人工智能检测模型不断适应,由于装载机设计的快速和不可预测的变化,常常导致漏检或误报。
BabbleLoader 为进一步入侵系统铺平了道路
BabbleLoader 的核心是加载 shellcode,随后解密并传递 Donut 加载器,后者再解压并激活窃取恶意软件。
加载器越能有效地保护最终的有效载荷,攻击者在轮换受感染的基础设施上投入的资源就越少。BabbleLoader 采用各种技术来保护自己免受检测,使其在拥挤的加载器和加密器领域保持竞争力。
BabbleLoader 恶意软件视频
提示:把你的声音并观察在全屏模式下的视频。
