گزارش  BatCloak برای تولید بدافزار‌های غیرقابل شناسایی

گزارش  BatCloak برای تولید بدافزار‌های غیرقابل شناسایی

تاریخ ایجاد

محققان یک موتور مبهم بدافزار کاملا غیرقابل شناسایی (FUD) به نام BatCloak را که توسط عوامل تهدید استفاده می‌شود را گزارش کرده‌اند. محققان Trend Micro، که موتور مبهم‌سازی بدافزار کاملا غیرقابل شناسایی (FUD) با نام BatCloak مورد تجزیه‌و‌تحلیل قرار داده‌اند که توسط عوامل تهدید برای ارائه مخفیانه بدافزار‌هایشان از سپتامبر ٢٠٢٢ استفاده می‌شود. نمونه‌های تجزیه‌و‌تحلیل شده توسط متخصصان توانایی قابل توجهی در دور زدن مداوم راه‌حل‌های ضد بدافزار را نشان دادند. محققان دریافتند که ٨٠ درصد از نمونه‌های بازیابی شده از راه‌حل‌های امنیتی امکان تشخیص صفر را داشتند. میانگین نرخ تشخیص برای مجموعه نمونه کلی ٧٨٤ مورد استفاده توسط کارشناسان کمتر از یک بود.

ax

موتور BatCloak تشکیل دهنده اصلی ابزار ساخت فایل دسته‌ای آماده به نام Jlaive است که قابلیت هایی مانند عبور از رابط اسکن ضدبرنامه‌مخرب (AMSI) را داراست و همچنین توانایی فشرده‌سازی و رمزگذاری بار مفید اصلی را دارد تا از لحاظ امنیتی از حملات خودداری کند.
پس از اینکه مخزن حاوی ابزار متن باز در سپتامبر ٢٠٢٢ حذف شد، از آن زمان توسط سایر عوامل تهدید اصلاح شده است. محققان نسخه‌های اصلاح شده و کلون‌های Jlaive را به‌عنوان یک سرویس یکبار مصرف برای خرید به‌جای یک مدل کلاسیک مبتنی بر حق اشتراک، ارائه کردند.

ax

بارگذاری نهایی با استفاده از سه لایه بارگذاری انجام می‌شود ، یک بارگذاری C#، یک بارگذاری PowerShell و یک بارگذاری دسته‌ای که آخرین آن به عنوان نقطه شروعی عمل می‌کند برای رمزگشایی و باز کردن هر مرحله و در نهایت انفجار برنامه ضد‌تشخیص شده است. درباره این موضوع پژوهشگران پیتر گیرنوس و علی‌اکبر زهراوی می‌گویند: بارگذار دسته‌ای حاوی یک بارگذاری PowerShell مبهم و یک باینری C# رمزگذاری شده است. در پایان، Jlaive از BatCloak به عنوان یک موتور ناشناسی فایل استفاده می‌کند تا بارگذاری دسته‌ای را ناشناس کرده و آن را در یک دیسک ذخیره کند.
گفته می‌شود که BatCloak از زمان ظهور در محیط های تهاجمی، به تعداد زیادی به‌روزرسانی و تغییر پیدا کرده است، و جدیدترین نسخه آن ScrubCrypt است که برای اولین بار توسط Fortinet FortiGuard Labs در ارتباط با یک عملیات کریپتوجکینگ که توسط گروه 8220 انجام می‌شود، برجسته شد.
علاوه بر این، ScrubCrypt  برای هماهنگی با انواع مختلف خانواده‌های مخرب معروفی مانند Amadey، AsyncRAT، DarkCrystal RAT، Pure Miner، Quasar RAT، RedLine Stealer، Remcos RAT، SmokeLoader، VenomRAT و Warzone RAT طراحی شده است.
  مراجع