琅琊榜海宴小说,最好看的小说排行

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

多個惡意軟件使用Ezuri加密降低檢出率

多個惡意軟件正在使用 Ezuri內(nèi)存 Loader 進(jìn)行防護(hù)，使安全產(chǎn)品無法檢測到他們的惡意代碼。Ezuri 在 GitHub 上提供了用 Golang 編寫的源代碼，在惡意軟件中變得越來越普及。

創(chuàng)新互聯(lián)自2013年起，公司以成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、系統(tǒng)開發(fā)、網(wǎng)絡(luò)推廣、文化傳媒、企業(yè)宣傳、平面廣告設(shè)計(jì)等為主要業(yè)務(wù)，適用行業(yè)近百種。服務(wù)企業(yè)客戶千余家，涉及國內(nèi)多個省份客戶。擁有多年網(wǎng)站建設(shè)開發(fā)經(jīng)驗(yàn)。為企業(yè)提供專業(yè)的網(wǎng)站建設(shè)、創(chuàng)意設(shè)計(jì)、宣傳推廣等服務(wù)。通過專業(yè)的設(shè)計(jì)、獨(dú)特的風(fēng)格，為不同客戶提供各種風(fēng)格的特色服務(wù)。

Ezuri 解密內(nèi)存中的 Payload

根據(jù) AT&T Alien Labs 發(fā)布的分析報告，多個攻擊者正在使用 Ezuri 來加密其惡意軟件并逃避安全產(chǎn)品的檢測。

盡管 Windows 惡意軟件都會采用類似的方式，但攻擊者現(xiàn)在也正在 Linux 平臺上使用 Ezuri 實(shí)現(xiàn)這一目標(biāo)。

Ezuri 用 Go 語言編寫，同時充當(dāng) Linux 二進(jìn)制文件的加密和加載器。Ezuri 使用 AES 加密惡意軟件代碼，解密后直接在內(nèi)存中執(zhí)行 Payload，不會在磁盤上落地任何文件。

Ezuri 的創(chuàng)建者 Guilherme Thomazi Bonicontro('guitmz')于 2019 年在 GitHub上開源了代碼，并在他的博客文章中首次展示了該工具的功能。

“此外，用戶'TMZ'(可能與先前提到的 'guitmz' 有關(guān))在 8 月下旬在一個共享惡意軟件樣本的小型論壇上也發(fā)布了相同的代碼”，AT&T Alien Labs 的研究員 Ofer Caspi 和 Fernando Martinez 解釋道。

研究人員指出，解密 AES 加密的 Payload 后，Ezuri 立即將結(jié)果作為參數(shù)傳遞給 runFromMemory 函數(shù)，而不會在失陷主機(jī)上釋放文件。

VirusTotal的檢測率接近零

AT&T 的研究表明，通常在 VirusTotal 上有一半的反病毒引擎判黑的惡意軟件樣本在用 Ezuri 加密后，被檢測到的概率接近 0。

目前為止，使用 Ezuri 加密的樣本在 VirusTotal 上的檢測率還不到 5%。

多個攻擊者都在積極使用

在過去的幾個月中，Caspi 和 Martinez 確定了幾個惡意軟件都在將其樣本與 Ezuri 捆綁使用。其中包括從 2020 年 4 月開始活躍的網(wǎng)絡(luò)犯罪組織 TeamTnT。

最初，TeamTnT 會攻擊配置錯誤的 Docker 服務(wù)，將失陷主機(jī)轉(zhuǎn)變?yōu)?DDoS 肉雞和挖礦的礦工。后來，TeamTnT 的變種會從內(nèi)存中提取 AWS 憑據(jù)。由 Palo Alto Networks Unit42發(fā)現(xiàn)的其中一個變種(Black-T)實(shí)際上是使用 Ezuri 加密的?！?/p>

解密后的 Payload 是一個 UPX 加殼的 ELF 文件，首次出現(xiàn)在 2020 年 6 月。詳細(xì)信息可參見 ATT&T 的分析文章。

參考來源：BleepingComputer

網(wǎng)站題目：多個惡意軟件使用Ezuri加密降低檢出率
標(biāo)題來源：http://m.fisionsoft.com.cn/article/dpdhceh.html

新聞中心

其他資訊