专家详细介绍了Wslink恶意软件加载程序用于模糊处理的虚拟机

网络安全研究人员对一个作为服务器运行并在内存中执行接收到的模块的恶意加载程序有了更多的了解，揭示了恶意软件用来在雷达下飞行的“高级多层虚拟机”的结构。

Wslink，作为恶意加载器被称为，首次记录斯洛伐克网络安全公司ESET在2021年10月，很少有遥测命中在过去两年中跨越中欧，北美洲和中东。

对恶意软件样本的分析几乎没有发现关于所使用的初始危害向量的线索，也没有发现任何代码、功能或操作相似性，表明这是一个来自之前确定的威胁参与者的工具。

Wslink附带了一个名为NsPack的文件压缩实用程序，它利用了所谓的进程虚拟机（VM），这是一种以独立于平台的方式运行应用程序的机制，抽象了底层硬件或操作系统，作为一种模糊处理方法，但有着至关重要的区别。

“用作模糊处理引擎的虚拟机[…；]ESET恶意软件分析师Vladislav Hrčka说：“它们不打算运行跨平台应用程序，通常会为已知的ISA（指令集架构）编译或组装机器代码，将其分解，并将其转换为自己的虚拟ISA”。

“这种模糊处理技术的优势在于，虚拟机的ISA对于任何潜在的逆向工程师来说都是未知的；需要对虚拟机进行彻底的分析，这可能非常耗时，以理解虚拟机的虚拟指令和其他结构的含义。”

更重要的是，虚拟化Wslink恶意软件包附带了各种各样的策略来阻止逆向工程，包括垃圾代码、虚拟操作数编码、虚拟指令合并，以及使用嵌套虚拟机。

“混淆技术是一种软件保护，旨在使代码难以理解，从而隐藏其目的；混淆虚拟机技术已被广泛用于非法目的，如混淆恶意软件样本，因为它们妨碍分析和检测，”Hrčka说。