《阿基拉》偷竊者逃避偵測
Akira 是 2023 年初發現的一種資訊竊取惡意軟體,能夠竊取敏感數據,例如保存的登入詳細資訊、支付卡資訊、用戶名、系統標識、硬體詳細資訊、安裝的軟體和網路配置。提取這些資料後,它將其上傳到「GoFile」(一種線上儲存服務)以及由威脅行為者控制的 Discord 訊息帳戶。根據《網路安全新聞》獨家報道,Akira Stealer 採用多層感染過程來隱藏其程式碼並逃避檢測。
威脅行為者也透過 Telegram、C2 伺服器和 GitHub 提供服務。此外,他們斷言該惡意軟體「完全無法檢測」(FUD)。他們的 Telegram 頻道「Akira」目前擁有 358 名訂閱者。此外,威脅行為者在「https[:]//akira[.]red/」處提供惡意軟體即服務域。
Akira 進入 CMD 腳本
出於分析目的,研究人員獲得了一個名為「3989X_NORD_VPN_PREMIUM_HITS.txt.cmd」的範例檔案。該檔案是一個 CMD 腳本,其中包含隱藏的、混淆的程式碼。值得注意的是,正如威脅行為者所聲稱的那樣,VirusTotal 並沒有註意到該文件。執行時,它將隱藏的.bat批次檔放入目前目錄中,該目錄也無法被偵測到。此檔案包含一個混淆的 PowerShell 腳本,該腳本將批次檔與 tmp.vbs 檔案集成,以便透過 csscript.exe 進程執行。
關於資訊竊取,惡意軟體會建立一個以受感染電腦命名的資料夾來儲存竊取的資料。隨後,它開始從各種網頁瀏覽器竊取訊息,包括 Microsoft Edge、Google Chrome、Opera、Mozilla Firefox 和其他 14 種瀏覽器。此外,該惡意軟體擅長針對財務數據,包括保存的信用卡詳細資訊和登入憑證、收集書籤和錢包擴充數據、擷取螢幕截圖等。
惡意軟體如何逃避偵測?
惡意軟體可以採用各種技術來逃避安全軟體的偵測並逃避網路安全專家的審查。其中一些規避策略包括:
- 多型程式碼:惡意軟體可以使用多型程式碼在每次感染新系統時變更其外觀。這使得基於簽名的防毒軟體很難識別和阻止它,因為惡意軟體的程式碼不斷變化。
- 變質代碼:與多態代碼類似,變質代碼在每次感染時都會完全重寫自身,這使得檢測更加困難。
- Rootkit 技術:惡意軟體可以使用 Rootkit 技術來隱藏其在系統上的存在。 Rootkit 操縱作業系統來隱藏惡意軟體的檔案、流程和登錄項目。
- 加密與編碼:惡意軟體可以對其程式碼進行加密或編碼,使其無法被安全軟體讀取。它只有在安全進入目標系統後才會解密或解碼其有效負載,這使得在執行之前很難檢測到。
- 秘密載入:惡意軟體可能會使用技術將自身載入到記憶體中而不寫入磁碟,使其不太可能被基於檔案的安全掃描偵測到。
- 動態鏈接:某些惡意軟體使用動態鏈接,這意味著它在執行時僅加載必要的庫,從而減少了可檢測到的可疑文件或函數的數量。
- 反分析技術:惡意軟體可以偵測它何時在沙箱或虛擬環境中運行,並在這些情況下表現良好,從而使研究人員更難分析其行為。
- 程式碼混淆:惡意軟體作者可以故意模糊其程式碼,從而使安全分析師難以理解惡意軟體的邏輯和功能。
- 無檔案惡意軟體:某些惡意軟體完全在記憶體中運行,不會在檔案系統上留下痕跡,這可以逃避基於簽名的偵測方法。
