威胁的发展日新月异,攻击者不断改进其技术以躲过防御。Emmenhtal 就是这些潜在威胁之一,它是一种恶意软件加载器,采用 LOLBAS(Living Off the Land Binaries and Scripts,离岸二进制文件和脚本)策略来隐蔽地分发恶意软件。据 ANY.RUN 的研究人员称,Emmenhtal 利用脚本分发 Lumma、Arechclient2、Hijackloader 和 Amadey 等病毒,每个病毒都经过精心伪装,以逃避检测。让我们深入探讨 Emmenhtal 用来保持隐蔽性的策略,并分解其执行链以了解其运作方式。我们将使用受控环境来分析这一恶意软件活动。Emmenhtal 加载程序概述Emmenhtal 载入器出现于 2024 年初。它采用 LOLBAS 技术,利用合法的 Windows 工具躲过检测系统。它将自身嵌入修改过的系统二进制文件中,通过层层加密脚本执行有效载荷。它的感染过程经常使用 HTA(HTML 应用程序)文件和 PowerShell 脚本,这使得使用标准安全工具识别它成为一项重大挑战。通过 ANY.RUN 脚本跟踪器等工具可以轻松检查 Emmenhtal 使用的脚本。在 ANY.RUN 沙盒中分析的恶意脚本艾门塔尔执行链分解我们可以通过检查 Emmenhtal 载入器如何在 ANY.RUN 的交互式沙盒中传输 Lumma 来查看其执行链。艾门塔尔加载器的执行链初始阶段: LNK 文件该过程以 .LNK 文件开始,该文件通常伪装成无害的样子,用于启动 Forfiles 命令。该文件的目的是在不提醒用户的情况下触发感染链。在 ANY.RUN 沙盒中,我们可以看到 forfiles.exe 进程出现在进程树中。进程树中出现的 ForefilesANY.RUN 沙盒中的 Forefiles.exe第二阶段: 执行 PowerShell 和启动 Mshta随着艾门塔尔加载程序在其执行链中的推进,第二阶段开始启动 PowerShell,这在推进感染中起着至关重要的作用。PowerShell 是 LOLBAS 技术中常用的工具,因为它具有多功能性并与 Windows 集成,因此成为 Emmenhtal 幕后黑手等威胁行为者的首选。对于分析 Emmenhtal 的网络安全专业人员来说,ANY.RUN 的沙盒提供了一个受控环境,可以实时观察每种策略。通过查看屏幕右侧的 MITRE ATT&CK 矩阵,您可以看到 Emmenhtal 的技术与对手既定战术的映射关系,从而有助于更好地了解其方法。在 ANY.RUN 沙盒内启动 PowerShell 技术感染链的下一步涉及 PowerShell 启动 Mshta。Mshta 被指示从远程服务器下载加密有效载荷。ANY.RUN 沙箱检测到的 Mshta.exe下载 Mshta 之后,PowerShell 会运行一个 BASE64 编码的命令。这种混淆技术可使命令看起来像一串随机字符,从而隐藏其真实意图,不被随意检查到。解码后,该命令会显示 Emmenhtal 加载器执行过程的下一步,为启动最终有效载荷做准备。ANY.RUN 检测到的 BASE64 编码 PowerShell 命令由 Emmenhtal 加载器启动有效载荷此执行链中的最后一个 PowerShell 脚本是 Emmenhtal 加载器,它会启动一个有效载荷,通常是 Updater.exe,以及一个以生成的名称作为参数的二进制文件。这一步将 Emmenhtal 从加载器阶段过渡到实际恶意软件的交付阶段。在我们的示例中,Emmenhtal 确实启动了 Updater.exe,如沙箱内所示。Emmenhtal 载入器交付 Lumma 恶意软件系统感染和 Lumma 发送随着 Updater.exe 的激活,Emmenhtal 载入器通过发送 Lumma 恶意软件完成了感染链。此时,Lumma 会成功感染系统,并启动其预期的恶意活动。Lumma 恶意软件触发的 Suricata 规则使用 ANY.RUN 安全地调查威胁艾门塔尔加载器是一种隐秘的恶意软件,它利用合法的 Windows 实用程序和混淆脚本逃避检测。不过,有了正确的工具,识别和阻止其活动就成为可能。ANY.RUN 的交互式沙盒可让您在安全、受控的环境中探索 Emmenhtal 和其他复杂恶意软件的行为。
