新的惡意軟件MosaicLoader可隱藏在Windows Defender排除項中逃避檢測

周二，網(wǎng)絡(luò)安全研究人員揭開了一個名為“ MosaicLoader ”的，先前未記錄的惡意軟件毒株的神秘面紗，該毒株將尋找破解軟件的個人作為全球活動的一部分。

Bitdefender 研究人員在分享的一份報告中稱，MosaicLoader 背后的攻擊者創(chuàng)建了可以在系統(tǒng)上傳遞任何有效載荷的惡意軟件，使其作為傳送服務(wù)并有可能獲利。惡意軟件通過偽裝成被破解的安裝程序到達目標(biāo)系統(tǒng)。它會下載一個惡意軟件噴霧器，從C2服務(wù)器獲取URL列表，并從接收到的鏈接下載有效負載。

Windows計算機惡意軟件

該惡意軟件之所以如此命名，是因為其精心設(shè)計的復(fù)雜內(nèi)部結(jié)構(gòu)，可防止逆向工程和逃避分析。

涉及 MosaicLoader 的攻擊依賴于一種成熟的惡意軟件傳送策略，稱為搜索引擎優(yōu)化 (SEO) 中毒，其中網(wǎng)絡(luò)犯罪分子在搜索引擎結(jié)果中購買廣告位，以在用戶搜索與盜版軟件相關(guān)的術(shù)語時將其惡意鏈接提升為熱門結(jié)果。

在成功感染后，最初的基于Delphi的dropper(偽裝成軟件安裝程序)充當(dāng)入口點，從遠程服務(wù)器獲取下一階段的有效負載，并在Windows Defender中為兩個下載的可執(zhí)行文件添加本地排除項以嘗試阻止防病毒掃描。

值得指出的是，可以在下面列出的注冊表項中找到此類Windows Defender排除項：

文件和文件夾排除

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths

文件類型排除

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions

進程排除

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes

其中一個二進制文件“appsetup.exe”旨在實現(xiàn)系統(tǒng)上的持久性，而第二個可執(zhí)行文件“prun.exe”用作噴霧器模塊的下載程序，該模塊可以檢索和部署來自URL列表，從cookie 竊取程序到加密貨幣挖掘程序，甚至更高級的植入程序，如Glupteba。

“prun.exe”還以其大量的混淆和反逆向技術(shù)而著稱，這些技術(shù)涉及用隨機填充字節(jié)分隔代碼塊，其執(zhí)行流程旨在“跳過這些部分，只執(zhí)行小的、有意義的塊”。

惡意軟件地圖

鑒于MosaicLoader的廣泛功能，受感染的系統(tǒng)可以被納入僵尸網(wǎng)絡(luò)，然后威脅參與者可以利用該僵尸網(wǎng)絡(luò)傳播多組不斷發(fā)展的復(fù)雜惡意軟件，包括公開可用的和定制的惡意軟件，以獲取、擴展和維護未經(jīng)授權(quán)的訪問受害計算機和網(wǎng)絡(luò)。

研究人員稱，防御MosaicLoader的最佳方法是避免從任何來源下載破解軟件，除了違法之外，網(wǎng)絡(luò)犯罪分子還會瞄準(zhǔn)和利用搜索非法軟件的用戶。并且檢查每次下載的源域名，以確保文件合法至關(guān)重要。

90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致!軟件安全是網(wǎng)絡(luò)安全的基礎(chǔ)組成部分，做好“軟件安全檢測修復(fù)”是現(xiàn)有網(wǎng)絡(luò)安全防護手段的重要補充。惡意軟件滲入方式日益高明，它們可以輕易躲過傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的檢測和防御，進而感染并攻擊受害者的網(wǎng)絡(luò)系統(tǒng)。因此，為了確保網(wǎng)絡(luò)安全，在使用和開發(fā)軟件過程中，加強軟件安全檢測，減少軟件安全漏洞可以和軟件安全產(chǎn)品共同發(fā)揮作用，一同抵御網(wǎng)絡(luò)攻擊。

參讀鏈接：

https://www.woocoom.com/b021.html?id=129b7d3767644328a2923d851b4ba463

https://thehackernews.com/2021/07/this-new-malware-hides-itself-among.html