释放 BatCloak 引擎的力量：网络犯罪分子实现完全的恶意软件隐身

自 2022 年 9 月以来，网络犯罪分子一直在利用功能强大且完全无法检测 (FUD) 的恶意软件混淆引擎 BatCloak 来部署一系列恶意软件变种。尽管防病毒软件不断努力，但 BatCloak 仍设法逃避检测，使威胁行为者能够通过高度混淆的批处理文件无缝加载各种恶意软件系列和漏洞利用。

据趋势科技的研究人员称，在发现的 784 个工件中，有 79.6% 的工件仍未被所有安全解决方案检测到，这突显了 BatCloak 在绕过传统检测机制方面的有效性。

BatCloak 引擎中的机制

Jlaive 是一个现成的批处理文件生成器，它依靠强大的 BatCloak 引擎来进行高级安全规避。它可以绕过反恶意软件扫描接口 (AMSI)、加密和压缩有效负载，并充当“EXE 到 BAT 加密器”。

尽管该开源工具在 2022 年 9 月由 ch2sh 发布后不久就从 GitHub 和 GitLab 中消失了，但其他参与者已经克隆、修改甚至移植到 Rust。最终的有效载荷隐藏在三个加载器层中：一个 C# 加载器、一个 PowerShell 加载器和一个批处理加载器。这个批处理加载器是起点，对每个阶段进行解码和解压缩以激活隐藏的恶意软件。研究人员 Peter Girnus 和 Aliakbar Zahravi 强调了批处理加载程序中存在混淆的 PowerShell 加载程序和加密的 C# 存根二进制文件。最终，Jlaive 利用 BatCloak 作为文件混淆引擎来保护批加载程序，并将其存储在磁盘上。

ScrubCrypt：BatCloak 的下一个进化

BatCloak 是一种高度动态的恶意软件混淆引擎，自最初出现以来已经经历了重大的改进和调整。当 Fortinet FortiGuard Labs 将其与臭名昭著的 8220 Gang 精心策划的加密货币劫持活动联系起来时，它最近的一个迭代版本之一，即 ScrubCrypt，引起了人们的关注。开发人员决定从开放源代码框架过渡到封闭源代码模型的动机是受到 Jlaive 等先前企业的成功以及将项目货币化并保护其免受未经授权复制的目标的推动。

研究人员断言，ScrubCrypt 与各种著名的恶意软件家族无缝集成，包括Amadey 、 AsyncRAT 、 DarkCrystal RAT 、Pure Miner、 Quasar RAT 、 RedLine Stealer 、 Remcos RAT 、 SmokeLoader 、 VenomRAT和Warzone RAT 。 BatCloak 的这种演变体现了其作为强大的 FUD 批量混淆器的适应性和多功能性，强调了其在不断发展的威胁环境中的普遍性。