Snip3 Loader

Morphisec的研究人员发现了一种新的威胁性和高度复杂的恶意软件威胁，他们将其命名为" Snip3"密码。该威胁以"加密即服务"方案提供，并用于正在进行的攻击活动中，这些攻击活动将大量RAT（远程访问特洛伊木马）病毒作为受感染机器上的最终有效负载提供。 Snip3加载程序最强大的功能是基于几种先进技术的避免检测和抗分析功能，例如使用'remotesigned'参数执行PowerShell代码，使用Pastebin和top4top进行登台，在运行时编译runPE加载程序以及检查Windows沙盒和VMWare虚拟化。

攻击链由多个阶段组成，初始攻击媒介通过网络钓鱼电子邮件进行传播。诱饵消息试图诱骗目标用户下载损坏的Visual Basic文件。在某些情况下，威胁参与者使用较大的安装文件来隐藏其恶意软件工具的交付。

Snip3攻击的初始阶段

第一阶段涉及部署VB脚本，该脚本负责准备和初始化恶意软件攻击的下一阶段-第二阶段PowerShell脚本。 Infosec研究人员设法确定了VB脚本的四个主要版本以及11个子版本。区分这4个版本的是用于加载下一版本PowerShell的确切方法，而子版本则采用了不同的混淆类型。应当指出，在此早期阶段，威胁执行者已实施了一些版本中观察到的相当独特的技术-脚本使用命令" -RemoteSigned"执行PowerShell。

Snip3操作的第二阶段

第二阶段主要围绕确保恶意软件不在虚拟环境中执行。如果一切似乎都在预期范围内，那么PowerShell脚本将继续加载RUnPE，以在空心Windows进程中反射地执行选定的RAT有效负载。

与在野外看到的常规代码相比，Snipe3配备了额外的防VM措施，无法检测到Microsoft Sandbox。要检查任何潜在的VM（例如VMWare，VirtualBox或Windows Sandbox），PowerShell脚本会提取Manufacturer字符串并将其与硬编码字符串列表进行比较。为了检测沙盒环境，该恶意软件尝试解析名为SbieDll.dll的DLL的句柄。如果找到了VM，则恶意软件会终止其操作，而不会传递RAT有效负载。

RAT威胁的部署

Snip3操作的最后阶段看到威胁将选定的RAT恶意软件发送给受感染的系统。投放机制不同于其他威胁性活动中常见的机制。 Snip3通过携带在运行时编译的嵌入式和压缩（GZIP）源代码，使隐身性加倍。该源代码似乎是来自名为NYAN-x-CAT的GitHub存储库中的runPE的修改版本。

到目前为止，已观察到Snip3将几种RAT威胁作为最终有效载荷丢弃。最常见的部署威胁是ASyncRAT或RevengeRAT 。但是，在某些情况下，Snip3变体已交付AgentTesla或NetWire RAT 。

组织应考虑公开的IoC（危害指标），并考虑Snip3的功能，以使其轻松绕过以检测为中心的解决方案。