详细内容或原文请订阅后点击阅览
BoxedApp 的阴暗面:合法打包商的双重生活
已添加 删除 ...
来源:安全实验室新闻频道犯罪分子擅长在合法的掩护下隐藏恶意软件。
网络犯罪领域出现了一种令人担忧的新趋势 - 攻击者越来越多地使用 BoxedApp 的商业产品来隐藏和分发恶意软件。近几个月来,分析师记录到使用这些工具的攻击数量急剧增加。
盒装应用程序过去一年,BoxedApp 中打包的恶意软件数量大幅增加。主要目标是世界各地的金融和政府组织。一些最常见的恶意软件类型包括远程访问僵尸网络、信息窃取程序和 LockBit 等勒索软件。一半的样品来自土耳其、美国和德国。
最常见的是,黑客会使用两种基于强大 SDK 的 BoxedApp 产品 - Packer 和 BxILMerge。这些解决方案提供了对一系列高级功能的访问,使病毒更容易传播。
SDKBoxedApp SDK 的主要功能包括虚拟文件系统、虚拟注册表、创建虚拟进程、拦截系统 API、打包可执行文件以及构建具有所有依赖项的单个包。一个重要的优点是能够仅在 RAM 中组织所有 I/O,而不会在磁盘上留下任何痕迹。
使用 BoxedApp 产品可以显着降低防病毒程序检测到的可能性,防止程序分析,并提供对通常难以自行实现的高级功能的访问。
同时,BoxedApp的打包算法是众所周知的,这简化了它们的静态检测。虚拟进程和 API 劫持也可能引起怀疑。另一个问题是防病毒程序对安全程序的误报频率很高。
打包后的原生PE文件结构:
打包后的原生PE文件结构:已销毁导入的原始 PE(在section.main 中)
虚拟文件/注册表(在section.bxpck 中)
本机存根文件 DotNetAppStub