釋放 BatCloak 引擎的力量：網絡犯罪分子實現完全的惡意軟件隱身

自 2022 年 9 月以來，網絡犯罪分子一直在利用功能強大且完全無法檢測 (FUD) 的惡意軟件混淆引擎 BatCloak 來部署一系列惡意軟件變種。儘管防病毒軟件不斷努力，但 BatCloak 仍設法逃避檢測，使威脅行為者能夠通過高度混淆的批處理文件無縫加載各種惡意軟件系列和漏洞利用。

據趨勢科技的研究人員稱，在發現的 784 個工件中，有 79.6% 的工件仍未被所有安全解決方案檢測到，這突顯了 BatCloak 在繞過傳統檢測機制方面的有效性。

BatCloak 引擎中的機制

Jlaive 是一個現成的批處理文件生成器，它依靠強大的 BatCloak 引擎來進行高級安全規避。它可以繞過反惡意軟件掃描接口 (AMSI)、加密和壓縮有效負載，並充當“EXE 到 BAT 加密器”。

儘管該開源工具在 2022 年 9 月由 ch2sh 發布後不久就從 GitHub 和 GitLab 中消失了，但其他參與者已經克隆、修改甚至移植到 Rust。最終的有效載荷隱藏在三個加載器層中：一個 C# 加載器、一個 PowerShell 加載器和一個批處理加載器。這個批處理加載器是起點，對每個階段進行解碼和解壓縮以激活隱藏的惡意軟件。研究人員 Peter Girnus 和 Aliakbar Zahravi 強調了批處理加載程序中存在混淆的 PowerShell 加載程序和加密的 C# 存根二進製文件。最終，Jlaive 利用 BatCloak 作為文件混淆引擎來保護批加載程序，並將其存儲在磁盤上。

ScrubCrypt：BatCloak 的下一個進化

BatCloak 是一種高度動態的惡意軟件混淆引擎，自最初出現以來已經經歷了重大的改進和調整。當 Fortinet FortiGuard Labs 將其與臭名昭著的 8220 Gang 精心策劃的加密貨幣劫持活動聯繫起來時，它最近的一個迭代版本之一，即 ScrubCrypt，引起了人們的關注。開發人員決定從開放源代碼框架過渡到封閉源代碼模型的動機是受到 Jlaive 等先前企業的成功以及將項目貨幣化並保護其免受未經授權複製的目標的推動。

研究人員斷言，ScrubCrypt 與各種著名的惡意軟件家族無縫集成，包括Amadey 、 AsyncRAT 、 DarkCrystal RAT 、Pure Miner、 Quasar RAT 、 RedLine Stealer 、 Remcos RAT 、 SmokeLoader 、 VenomRAT和Warzone RAT 。 BatCloak 的這種演變體現了其作為強大的 FUD 批量混淆器的適應性和多功能性，強調了它在不斷發展的威脅環境中的普遍性。