能逃避机器学习检测的 Cerber 勒索变种

摘要

CERBER勒索家族已经被发现通过一种新技术来逃避检测:使用了一种新的方法用加载出来的程序来逃避机器学习检测技术。其被设计为把一个二进制文件掏空,然后把CERBER的代码替换进去,再使用其他手段加载运行。

行为分析

勒索软件通常通过电子邮件传播,这些新的CERBER变体也不例外。电子邮件里面可以用各种各样的程序进行勒索软件的传播 。

比如邮件里面包含一个链接指向一个自解压的文件,该文件已经上传到攻击者控制的一个Dropbox账户里面,被攻击目标接着就会自动下载然后打开里面的程序,将会入侵整个系统。

下面的流程图大概说明了该变种的运行过程。

下载下来的自解压文件包含下面3个文件,VBS文件,DLL和1454KB的配置文件。在用户电脑中三个文件名字都会不一样,这里用他们的hash标注。

自解压文件是exe后缀,双击之后会自动做上面流程图的事情,sfx*为关键参数

一开始vbs脚本是通过WSH运行,脚本反过来通过rundll32.exe与DLL的名字文件8ivq.dll作为它的参数来加载DLL文件,写的很简单明了。

DLL文件非常的简单明了。所有的操作都是为了读1454KB的配置文件,先解密一部分配置文件,且无论解密与否都得一直运行着。

下图为DLL文件获取同一目录下文件名为“x”的配置文件,打开并读取相关字段并解密

DLL文件没有包含文件或加密;然而,配置文件x中的代码在解密后是恶意的。

根据下图可以判断出x文件的开始地址

文件x含有加载各种配置设置,加载出来的程序会去查找是否在虚拟机中运行,或者是否在沙箱中运行,是否有分析工具在机子中运行,或一些AV产品在运行,只要检测到就停止运行。

下面是样本的一些检测产品名称:

分析工具

  • Msconfig
  • Sandboxes
  • Regedit
  • Task Manager
  • Virtual Machines
  • Wireshark

杀毒软件

  • 360
  • AVG
  • Bitdefender
  • Dr. Web
  • Kaspersky
  • Norton
  • Trend Micro

一般主流的加载payload是注入代码给另一个程序,而在这种情况下,注入代码是整个Cerber的二进制文件,并且其可以注入到下面的任何进程

  1. C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe 
  2. C:\Windows\Microsoft.NET\Framework\v2.0.50727\regasm.exe 
  3. C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe 
  4. C:\Windows\SysWow64\WerFault.exe 
  5. C:\Windows\System32\WerFault.exe 

可以看一下双击自解压文件后的效果,双击最左边,出来右边一堆东西,过了一会各种弹窗

很明显的cerber勒索

机器学习和逃逸

接下来来到重点,Cerber已经被早一些的安全解决方案给阻止了,将Cerber运行在一个正常程序(与加载程序的做法一样)可以帮助逃避行为监控,但是为什么重新将Cerber加入压缩包并使用单独一个加载器来变得更麻烦呢?Cerber的早期版本已经有代码注入的例子了,它可以模仿成一个普通程序,并且能更好的模仿程序的行为,所以为什么单独加载是必要的呢?

答案在于通过机器学习行业来解决安全问题。机器学习行业已经创造出一种基于特征而不是签名的方法来主动防御恶意文件。重新打压缩包和加载机制被Cerber利用后可以造成对于静态机器学习方法出现问题——也就是说,该方法分析文件不会有任何的执行或仿真。

自解压文件和简单明了的文件对于静态机器学习方法来说是个问题。所有自解压文件无论其内容怎么样,可能结构看起来相似。仅仅只有解压二进制文件这样的功能可能不足以判断是恶意的,换句话说,Cerber被打压缩包的行为可以说是用来设计成专门用来逃避机器学习文件检测的。对于所有新的恶意软件对抗技术,等效的规避技术是很必要创建出来的。

这个新的逃避技术成功将使用多层防护的反恶意软件给绕过了。Cerber有对其他技术的弱点。举个例子,有解压缩。DLL 文件将容易的给他创建一个对多模式;如果压缩包是可疑的,那么如果压缩内容有存档的话能够更易于识别。有各种各样的解决方案可以防止这类变种的危害,只要不是过度依赖机器学习的软件,还是可以保护客户免受这些威胁的。

样本hash

  1. VBS:09ef4c6b8a297bf4cf161d4c12260ca58cc7b05eb4de6e728d55a4acd94606d4a61eb7c8D 
  2. 配置文件:7a6bc9e3eb2b42e7038a0850c56e68f3fec0378b2738fe3632a7e4c 
  3. DLL:e3e5d9f1bacc4f43af3fab28a905fa4559f98e4dadede376e199360d14b39153 
  4. 自解压:f4dbbb2c4d83c2bbdf4faa4cf6b78780b01c2a2c59bc399e5b746567ce6367dd 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/123685.html<

(0)
管理的头像管理
上一篇2025-02-22 22:21
下一篇 2025-02-22 22:22

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注