Palo Alto описали использование методов обфускации вредоносными программами, такими как Agent Tesla, XWorm и FormBook/XLoader, чтобы обойти обнаружение в песочнице и повысить вероятность успешной доставки их вредоносных файлов.
Описание
Методы обфускации могут быть классифицированы по целям и методам, включая защиту полезной нагрузки, доставку полезной нагрузки, виртуализацию кода, использование криптографии AES, создание многоступенчатых полезных нагрузок и динамическую загрузку кода.
- Криптография AES (Advanced Encryption Standard) используется для защиты и шифрования полезной нагрузки вредоносных программ.
- Виртуализация кода происходит путем преобразования кода, что делает его выполнение возможным только с помощью специального интерпретатора.
- Обфускация доставки полезной нагрузки включает пошаговую доставку полезной нагрузки, хранение полезной нагрузки в исполняемых файлах, динамическую загрузку кода и выполнение кода с помощью отражения в .NET.
Другие методы обфускации включают использование оверлея PE для хранения полезной нагрузки, а также создание многоступенчатых полезных нагрузок, которые являются самодостаточными в рамках исходного образца вредоносной программы.
Indicators of Compromise
IPv4 Port Combinations
- 66.63.168.133:7000
Domain Port Combinations
- mail.iaa-airferight.com:25
- weidmachane.zapto.org:7000
Emails
SHA256
- 098a18e96c4fb250ffadb3f01d601240c74a4d9f5df94cb72bd44cc81b80b2af
- 3d8187853d481c74408d56759f427e2c3446e9310c2d109fd38a0f200696c32d
- 695e038452a656d58471f284edb8d81754b78258a6afd3d8f62ae8a47c3130d9
- a02bdd3db4dfede3d6d8db554a266bf9f87f4fa55ee6cde5cbe1ed77c514cdee
- d72f4ef2e5caea42749d542384b6634e65e29f3aef5d09a9c231cc09e76e4988
