softice 深入分析信息窃取恶意软件Astaroth 恶意

一、前言
近日，思科Talos详细分析了窃取信息的恶意软件Astaroth，该软件使用了包括流行的新冠肺炎在内的各种诱饵，主要攻击巴西。在阿斯塔罗斯恶意软件中，使用非常复杂的混淆和反向分析/规避检测技术来阻止研究人员检测和分析该恶意软件家族。该恶意软件创造性地使用YouTube频道作为编码和加密的命令和控制通信频道。
1.1独特功能
Astaroth使用了一系列强大的反分析/规避检测技术，这是我们最近看到的最复杂的技术。Astaroth可以有效避免被检测到，并且做出非常合理的判断，保证只会安装在巴西的操作系统上，可以避免安装在沙盒和研究人员的系统上。此外，恶意软件会在公共端口上使用公共服务，还会将YouTube频道作为C2使用，尽可能避免被发现。
【softice 深入分析信息窃取恶意软件Astaroth】1.2工作原理
1.用户收到了一封令人困惑的电子邮件。在这一系列恶意活动中，所有的电子邮件都是葡萄牙语的，发送给了巴西的用户。
2.用户单击电子邮件中的链接，这将用户导向攻击者使用的服务器。
3.从谷歌基础设施下载初始有效载荷，也就是一个ZIP文件，其中包含LNK文件。
4.在LoLBins用于进一步感染之前，实现了多层混淆。
5.在发射阿斯塔罗特有效载荷之前，进行了大量的反分析和规避探测检查。
6.从YouTube频道描述中提取编码和加密的C2域名。
1.3核心结论
通过阿斯塔罗斯，我们可以看到一些恶意软件已经达到了非常成熟的水平。通过对这种恶意软件的分析，我们可以知道攻击者可能使用的高级反分析和检测规避方法，这种反分析能力强的恶意软件很可能会在巴西境外传播。作为企业和其他组织，需要充分保护这些窃取信息的恶意软件，具有很强的逃避检测能力，同时要以有效的方式防御这种复杂的攻击。同时，大量攻击者利用新冠肺炎话题发起攻击，此次恶意软件攻击活动就是利用该话题的又一个案例。
二.摘要
从目前的威胁情况来看，网络上分布着各种各样的恶意软件系列，其目标都是企业或个人。在所有这些威胁中，大多数都有一个共同点——为了钱。有许多恶意软件针对最终系统上存储的数据的访问权限，这些数据可以通过各种方式转化为金钱。为了利益最大化，一些恶意软件作者和恶意软件分销商正在尽最大努力逃避检测，尤其是逃避自动化分析环境并可能调试恶意软件的恶意软件分析工程师。我们今天分析的阿斯塔罗斯的恶意活动显示了教科书级别的逃脱技巧。
这种恶意软件背后的威胁行为者非常关心如何避免被检测到。他们没有在恶意软件中引入一两个反向分析检查，而是引入了几十个检查，包括大多数商业恶意软件很少看到的检查。这种类型的恶意活动显示了过去几年中一些以金钱为导向的攻击者的成熟。这种恶意活动专门针对巴西，使用专门为巴西用户设计的诱饵，包括新冠肺炎和巴西鱼网。此外，交付程序甚至在交付最终的恶意有效载荷之前，就使用了非常复杂的技术和多层混淆和避免技术。有效载荷发布后，将进行另一系列检查，以确保有效载荷在巴西操作系统上以高置信度执行，而不是在研究人员或其他安全技术使用的系统上执行。此外，该恶意软件还使用新技术，通过YouTube更新命令和控件，并将大量新技术与现有技术相结合。
在本文中，我们将对阿斯塔罗斯恶意软件家族进行深入分析，并详细介绍我们在过去近一年中观察到的一系列活动。它将包括详细的反混淆分析，从最初的垃圾邮件到最终交付的有效载荷分析，以及阿斯塔罗斯使用的所有逃逸技术的分析。我希望通过这篇文章，我们能了解如何在自己的环境中分析样本。这种恶意软件非常难琢磨，我们估计在可预见的未来，它将是用户和维护者都头疼的威胁，尤其是如果它的目标转移到南美和巴西以外的地区。

softice 深入分析信息窃取恶意软件Astaroth

推荐阅读