警惕:Kiteshield Packer正在被Linux黑灰产滥用
2024-5-28 11:13:48 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
近年来,越来越多的黑灰产组织将目光投向了Linux平台,导致Linux病毒如雨后春笋般不断涌现。显而易见,Linux病毒正处于高速增长的阶段。从安全分析的角度来看,相较于Windows系统上的恶意软件,Linux下的病毒所使用的对抗技术显得相对“稚嫩”。然而,随着双方投入的增加,可以预见,Linux平台上的恶意软件也会像Windows平台一样,充斥着各种奇技淫巧的对抗手段和多样化的壳技术,而Kiteshield,只是一个开始。
近一个月XLab的大网威胁感知系统系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析,期间经历了反调试,字串混淆,XOR加密,RC4加密等等一系列对抗手段。坦白的说,在这个过程中我们是非常开心的,因为对抗越多,越能说明样本的“不同凡响”,或许我们抓到了一条大鱼。
然而,结果却让人失望。这批样本之所以检测率低,是因为它们都使用了一个名为Kiteshield的壳。最终,我们发现这些样本都是已知的威胁,分别隶属于APT组织Winnti、黑产团伙暗蚊,以及某不知名的脚本小子。
尽管我们未能从这批样本中发现新的威胁,但低检测率本身也是一种重要的发现。显然,不同级别的黑灰产组织都开始使用Kiteshield来实现免杀,而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近,我们不排除攻击方使用Kiteshield的可能性。因此,我们认为有必要编写本文,向社区分享我们的发现,以促进杀软引擎对Kiteshield壳的处理能力。

详细内容请访问:

https://blog.xlab.qianxin.com/kiteshield_is_being_abused_by_cybercriminals_cn

或者点击下方的阅读原文

文章来源: https://mp.weixin.qq.com/s?__biz=MzkxMDYzODQxNA==&mid=2247483720&idx=1&sn=7d8899ff6a8655bf264b3607bdfb24a7&chksm=c1292d69f65ea47f1470335b4ccd5c08e69f238123a5a9d95d90bf3cf0f0428576767368533b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh