Rombertik恶意软件破坏硬盘以避免被发现

村上春种树 lv.2

发布时间：2022-04-27 18:43:45 410

相关标签： # 研究# 恶意软件# 技术# 设备# 软件

配音罗姆贝蒂奇，由于其独特的规避技术，在其他自毁恶意软件样本中是“独一无二的”。一旦检测到任何分析工具，Rombertik就会尝试删除设备的主引导记录（MBR）和主目录，使机器不断重启。

Rombertik是一个复杂的间谍软件，旨在“不加区别地”收集用户在网上所做的一切，以获取受害者的登录凭据和其他机密信息。

思科安全研究人员本·贝克（Ben Baker）和亚历克斯·邱（Alex Chiu）周一在一篇博客文章中表示，当用户点击钓鱼电子邮件中包含的恶意附件时，Rombertik通常会安装在易受攻击的机器上。

一旦加载到系统中，Rombertik首先运行一系列反分析检查，以确定它是否在沙箱中运行。

如果它没有在沙箱中运行，Rombertik会解密并将自己安装在受害者的机器上，然后允许恶意软件启动自身的第二个副本，并用恶意软件的核心间谍功能覆盖第二个副本。

完成这个过程后，在开始监视用户之前，Rombertik会进行最后一次检查，以确保它没有在内存中被分析。如果发现任何被分析的迹象，间谍软件会试图破坏易受攻击计算机的主引导记录（MBR）。

Rombertik然后重启机器，因为现在硬盘上的MBR丢失了，所以受害者的电脑将进入无休止的重启循环.

MBR是系统在加载操作系统之前寻找的计算机硬盘驱动器的第一个扇区。然而，删除或销毁MBR需要重新安装操作系统，这意味着有价值的数据会丢失。

如果恶意软件在安全专家或任何竞争对手的恶意软件作者的显微镜下，Rombertik会自毁，带走受害者硬盘中的内容。

安全研究人员对恶意软件进行反向工程发现Rombertik含有大量的“垃圾代码" ，未打包的Rombertik示例大小为28KB，而打包的版本大小为1264KB，包括75个从未使用过的图像和8000个函数。

此外，罗姆伯蒂克通过将一个随机字节的数据写入内存9.6亿次，将自己保存在沙盒中为了压倒那些试图通过记录系统活动来检测恶意软件的分析工具。

"如果一个分析工具试图记录所有9.6亿条写指令，日志将增长到超过100G研究人员在一篇博客文章中解释道。

"即使分析环境能够处理这么大的日志，也需要25分钟才能将这么多数据写入一个典型的硬盘。这使分析变得复杂。"

数据擦除和自毁恶意软件并不新鲜。在过去三年中，我们看到恶意软件规避能力大幅提升。

2013年，韩国银行和电视广播公司以及索尼影业娱乐公司（Sony Pictures Entertainment）使用了Wiper恶意软件，这标志着一次大规模数据泄露的历史。

同样在去年德国航空航天中心成为了一个自我毁灭性恶意软件的目标在一次间谍袭击中，据信是由中国进行的。

让您的系统远离此类恶意软件的最佳方法是为PC安装最好的防病毒软件，并避免打开通过网络钓鱼电子邮件提供的恶意或可疑链接。

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。