Elastic Security Labs已经确定了一个名为“DOUBLELOADER”的新恶意软件家族,它利用ALCATRAZ(一种游戏黑客启发的混淆者)与RHADAMANTHYS信息窃取器一起部署高级规避技术。

虽然ALCTRAZ起源于游戏黑客场景,但它现在已被网络犯罪分子和高级持续威胁(APT)参与者选中,允许恶意软件作者应用分层混淆技术,显着延迟检测和分析。

“DOUBLELOADER的一个有趣的属性是,它受到开源混淆器ALCATRAZ的保护……在电子犯罪领域观察到并用于有针对性的入侵,”Elastic Security reportedLabs报道。

该恶意软件于12月首次出现,其特征是通用后门,通常与已知的信息窃取者RHADAMANTHYS配对。DOUBLELOADER 使用直接系统调用,如 NtOpenProcess、NtWriteVirtualMemory 和 NtCreateThreadEx 将无后端代码注入 explorer.exe。

“恶意软件收集主机信息,请求自己的更新版本,并开始向硬编码IP(185.147.125.81)信标,”Elastic的研究人员指出。

ALCATRAZ于2023年首次发布,为用户提供了bin2bin转换流程,使他们能够混淆已经编译的二进制文件,而无需更改源代码。这种便利性使其在业余爱好者和威胁行为者中都很受欢迎。

Elastic Labs 识别了嵌入在 DOUBLELOADER 中的多种混淆技术,包括:

入口点混淆: 隐藏实际的程序开始使用计算的跳跃和位数技巧。反拆卸:添加误导性跳转指令(0xEB)以破坏IDA等工具中的线性拆解。指令突变:用复杂的指令链替换简单的操作(例如,添加)。不断展开:通过位操作模糊已知的常数,使值乍一看是无法读的值。LEA混淆:在间接内存荷载和算术中隐藏值。控制流扁平化:使用基于调度器的循环破坏可读分支逻辑,该循环使用状态变量。

“控制流量扁平化等混淆技术继续成为分析师的障碍,”报告警告说。

弹性安全实验室并没有停止分析——他们发布了IDA Python脚本的工具和示例,以帮助逆向工程师和恶意软件分析师消除受ALCATRAZ保护的二进制文件。

他们还使用社区工具,如D810 IDA插件,对混淆的控制流进行逆向工程,展示如何扁平化和清洁复杂的结构。

“虽然恶意软件分析报告通常显示最终结果,但很大一部分时间往往用于预先消除混淆,”该团队解释说。