深入分析Matanbuchus加载器的恶意加载技术和技巧

来源:岁月联盟 编辑:猪蛋儿 时间:2022-08-03

关键词:Matanbuchus加载器、恶意软件即时服务(MaaS)、恶意软件

Matanbuchus是一种恶意软件即服务(MaaS)加载器,在黑市上已经流传了一年多。Matanbuchus被认为是一种加载类型的恶意软件,用于在目标环境中下载和执行恶意软件载荷。Matanbuchus加载器包含两个阶段,但是此前只有第一个阶段得到了深入分析。

这篇博客文章将阐明Matanbuchus的主要阶段,即加载的第二阶段。第二阶段的加载更加有趣,因为它涉及许多载荷加载技术。本文通过对加载器的特性和功能的分析,确定Matanbuchus是一个恶意软件加载器。

1. 简介

恶意软件加载器已经存在很长时间了。在过去几年中,用于不同活动和在黑市销售的恶意软件加载器的种类和数量显著增加。

恶意软件加载器的主要目标是逃避和绕过安全检测,如AV(杀毒软件)和EDR(终端检测与响应),然后分发不同的恶意软件载荷,如信息窃取软件、RAT、勒索软件等。这与僵尸网络恶意软件相反,僵尸网络恶意软件侧重于持久性和与C2服务器的主动通信,以按需获取各种命令和执行载荷。

加载器在其复杂性和有效性方面取得了长足的进展。以往的加载器大多是加壳/加密程序,它们基本上加密载荷的内容,以隐藏真实的执行流、字符串等。通过使用这种技术,加载器可以规避静态检测能力。较新的加载器还可以避免动态检测,如用户模式挂钩,采用的技术包括复杂的混淆处理、多阶段二进制文件/Shellcode,以及如反调试和反虚拟机之类的许多反分析技巧。最重要的是,较新的加载器可以通过使用各种加载技术绕过不同的检测来加载攻击者的载荷。

在大多数情况下,加载器有许多不同的阶段,但最后一个阶段通常加载并执行攻击载荷。例如,由多个阶段组成的加载器可能包含以下部分:

  • 检查失陷主机并解密下一阶段的(主)加载器

  • 连接到C2以取得加密密钥并解密下一阶段的攻击程序

  • 下载并解密攻击载荷并执行。

这里是一个从给定URL下载载荷的加载器流程示例,该URL可能是C2服务器。除了普通的C2通道外,恶意软件还可以使用已知的托管服务(例如OneDrive)。一些加载器在其二进制文件中以加密形式存储攻击者的载荷,例如加密资源。

2. Matanbuchus加载器概览

自2021年2月以来,Matanbuchus一直作为MaaS加载器在地下论坛上出售,每月租金为3000-4500美元。根据地下论坛的评论,Matanbuchus是一款非常好用的加载器即服务软件(Loader-as-a-Service),并且其只将服务出租给有限的攻击者群体。

需要注意的是,该加载器组件与载荷分开销售,载荷最终将在目标机器上执行。Matanbuchus主要功能是下载和执行不同的载荷,如Qbot和Cobalt Strike beacons。Matanbuchus过去是通过Microsoft Office文档文件(如Excel和Word文档)的宏代码进行传递和删除的。

图1 Matanbuchus 加载器在一个俄罗斯地下论坛上出售

这款恶意软件是用C++编写的,包括两个阶段:初始加载器(第一阶段)和主加载器(第二阶段)。恶意软件的每个部分都在不同的DLL文件中实现。

第一个阶段相当基本