详细内容或原文请订阅后点击阅览
拆箱Anubis:探索Fin7最新后门的隐秘策略
在不断发展的高级持续威胁(APTS)的景观中,臭名昭著的金融网络犯罪集团Fin7为他们的武器库增加了另一个复杂的工具。我们最近发现了一个新的基于Python的后门,名为“ Anubisbackdoor”,该后门被部署在其最新活动中。
来源:G DATA _恶意软件第二阶段有效载荷采用双层混淆策略:
- 诱饵类结构:代码的初始部分由具有无功能目的的多个类别定义(具有毫无意义的名称(lliiliiiilii,lilliiiiiliiillil等))组成。这些类包含以圆形模式互相调用的方法,创建了无关紧要的代码迷宫。令人困惑的命名:在整个代码中,变量和函数都使用视觉上相似字符('l','i')的组合,以区分标识符对分析师的挑战。
诱饵类后,文件将过渡到实际的后门实现。在仍使用混淆的变量名称时,本节包含实际的后门功能,包括网络通信,命令处理和系统操纵功能。