top of page
Forfatters billedeThomas Pedersen

Trend Micro forskere afslører Bat Cloak: En ny kraftfuld malware


En gruppe forskere hos Trend Micro gennemførte for nylig en omfattende analyse af en meget sofistikeret malware-obfuscation-motor kaldet BatCloak. Denne "malware engine", der er brugt af ondsindede aktører siden september 2022, giver dem mulighed for at distribuere malware i det skjulte, mens de forbliver uopdaget.


Trend Micro, Bat Cloak, Malware, Ransomware, Cyberangreb, IT-sikkerhed

Under deres undersøgelse undersøgte eksperterne forskellige prøver og var forbløffede over motorens exceptionelle evne til konsekvent at undgå anti-malware-løsninger. Forbløffende nok fandt de ud af, at 80 % af de indsamlede prøver havde nul detektioner af sikkerhedssoftware.


Den samlede gennemsnitlige detektionsrate for de 784 analyserede prøver var mindre end én. Forskerne opdagede også, at BatCloak-motoren var en integreret del af en FUD-bygger kaldet Jlaive, som var begyndt at cirkulere i 2022.


Yderligere undersøgelse af Jlaive-depotet kastede lys over udviklerens (ch2sh) dedikerede indsats inden for FUD-teknologier. Udviklerne brugte AES-kryptering og implementerede teknikker til at omgå Anti-Malware Scan Interface (AMSI).


I september 2022 blev lageret, der var vært for open source-værktøjet, fjernet. Det er dog siden blevet klonet og modificeret af andre trusselsaktører. Forskerne identificerede modificerede versioner og kloner af Jlaive, der tilbydes som engangskøbstjenester, der afviger fra den traditionelle abonnementsbaserede model.


På trods af forsøg på at fjerne depoter, der indeholder ændrede eller klonede Jlaive-versioner fra platforme som GitHub og GitLab, fortsætter trusselsaktører med at uploade koden. I nogle tilfælde har udviklingsteam endda overført koden til andre sprog som Rust.


Jlaive er afhængig af en modificeret udgave af Nettitudes RunPE (runpe.dll), en open source C#-reflekterende indlæser til ikke-administrerede binære filer. Denne loader gør det muligt for malware-nyttelasten at forblive i hukommelsen og udføre flere bærbare eksekverbare (PE'er) inden for den samme proces (kendt som process hiving).


Forskerne fremhævede, at BatCloak-motoren fungerer som kernekomponenten i Jlaives obfuscation-algoritme og omfatter LineObfuscation.cs og FileObfuscation.cs. Sidstnævnte algoritme håndterer specifikt sløring af batchfiler.


For at sikre maksimal skjulning pakkes den endelige nyttelast ved hjælp af en tre-lags tilgang bestående af en C#-loader, en PowerShell-loader og en batch-loader.

Comments


bottom of page