Proofpoint發現，一種新發現的復雜的遠程訪問木馬(RAT)正在使用COVID-19誘餌通過惡意電子郵件活動進行廣泛傳播，并可以通過多種功能來規避研究人員的分析或檢測。

根據周三發表的一篇Proofpoint博客文章，這種被稱為Nerbian RAT的新型惡意軟件變體是用與OS無關的Go編程語言編寫的，并利用了顯著的反分析和抗扭轉功能。研究人員表示，Proofpoint研究人員基于惡意軟件代碼中的命名函數來代指該新型軟件，而這一命名似乎來自小說《堂吉訶德》中的虛構地方“Nerbia”。

他們聲稱，Proofpoint研究人員首次觀察到RAT從4月26日開始才出現在低容量的電子郵件活動中并被分發給多個行業，主要影響意大利、西班牙和英國的組織。

研究人員寫道該病毒的表現形式為：這些電子郵件聲稱代表世界衛生組織(世衛組織)向受害人群提供有關新冠肺炎的重要信息。他們指出，這些信息實際上是對2020年疫情早期流傳的類似網絡釣魚活動的倒退。

而帖子中共享的電子郵件樣本則試圖讓他們自己看起來像是來自世衛組織的電子郵件地址，例如who.inter.svc@gmail[.]com和unceration@who-international[.]com，并用作世衛組織或世界衛生組織的主題行。這些消息包括防控COVID-19相關的安全措施，以及名稱中也包含“covid19”的附件，但這些文件實際上是包含惡意宏的Word文檔。

而啟用該類包含宏的文檔后，該文件將介紹與COVID-19安全相關的信息，特別是有關自我隔離和護理COVID-19患者的信息。研究人員寫道，宏啟用還刺激文檔執行嵌入式宏，該宏刪除執行PowerShell進程的文件，將Nerbian RAT滴管放入一個名為UpdateUAV.exe的64位可執行文件中，該文件用Go編寫。

研究人員指出，Go語言正在成為威脅行為者使用的越來越受歡迎的語言，這可能是因為它的進入壁壘較低，易用性也很大。

復雜性和規避

研究人員寫道，Nerbian RAT惡意軟件利用了分布在幾個階段的多個反分析組件，包括多個開源庫。事實上，惡意軟件表現出其具有復雜性，并會在三個不同的階段工作。首先它通過網絡釣魚傳播的惡意文檔開始，然后如上所述轉到UpdateUAV.exe滴管，滴管在執行Nerbian RAT之前執行各種環境掃描，例如反扭轉和反VM檢查。

最終，研究人員觀察到RAT本身通過加密配置文件執行，并“非常小心”地通過安全套接字層(SSL)發送，以此確保命令和控制(C&C)的數據被加密，這樣就逃避了網絡掃描工具的檢查。

他們說，除了與C&C通信外，惡意軟件可以做的其他典型RAT事情包括鍵盤記錄和屏幕捕獲，但具有自己的特殊天賦。RAT的鍵盤記錄器以加密形式存儲按鍵，而其屏幕捕獲工具則能夠適用于所有操作系統平臺。

極端審查

也許三階段過程中最復雜的規避功能是滴管執行Nerbian RAT之前發生的事情。研究人員表示，滴管會對受損的主機進行全面審查，如果遇到以下的條件將會停止執行。研究人員表示，這些條件包括：系統上硬盤的大小小于一定數值，即100GB;根據WMI，硬盤的名稱包含“虛擬”、“vbox”或“vmware”;查詢的MAC地址返回某些OUI值;或者如果在流程列表中遇到任何逆向工程/調試程序。

如果進程列表中存在DumpIt.exe、RAMMap.exe、RAMMap64.exe或vmmap.exe內存分析/內存篡改程序，滴管也會停止執行;如果執行特定函數被視為“過長”，這表明滴管中存在的時間測量函數正在進行調試。

然而，盡管有所有這些復雜性以確保RAT在前往受害者機器的途中不會被檢測到，但研究人員指出，滴管和RAT本身在裝滿UPX的樣本之外不會發生嚴重的混淆——可以說這不一定是為了混淆，而是為了簡單地縮小可執行文件的大小。研究人員還發現，很容易推斷RAT和滴管的大部分功能，因為代碼中引用GitHub存儲庫的字符串暴露了滴管和RAT的部分功能。

文章來源于：https://threatpost.com/nerbian-rat-advanced-trick/179600/如若轉載，請注明原文地址。