流行的恶意软件家族使用“进程复制”来逃避检测

加工双齿轮与《黑客新闻》分享的一份新报告透露，不仅一两个恶意软件家族，还有大量恶意软件家族正在使用。

Process Doppelgänging于2017年底被发现，是进程注入技术的一种无文件变体，它利用内置Windows功能来逃避检测，并可在所有现代版本的Microsoft Windows操作系统上运行。

Process Doppelgänging攻击的工作原理是，利用名为Transactional NTFS（TxF）的Windows功能，通过替换合法进程的内存，诱使进程监视工具和防病毒软件相信合法进程正在运行，从而启动恶意进程。

在这项技术被披露几个月后，SynAck勒索软件的一个变种成为有史以来第一个利用过程复制技术的恶意软件，目标是美国、科威特、德国和伊朗的用户。

不久之后，研究人员发现了Osiris banking特洛伊木马的一个滴管（加载器），该特洛伊木马也将这种技术与之前发现的类似恶意软件规避技术结合使用，该技术被称为进程空洞化。

现在，事实证明，不仅仅是SynAck或Osiris，还有20多个不同的恶意软件家族—；包括FormBook、LokiBot、SmokeLoader、AZORult、NetWire、njRat、偷小马者和GandCrab勒索软件—；一直在使用恶意软件加载程序，利用这种混合实现的进程复制攻击来逃避检测。
在分析了数百个恶意软件样本后，enSilo的安全研究人员发现了这种加载程序的至少七个不同版本，他们称之为TxHollower，“被各种恶意软件作者使用。

研究人员说：“众所周知，攻击者会重用攻击链中的资源和工具，最著名的是滴管、打包机和装载机。这突出表明，共享的组件和代码使跟踪和归属不同组变得更加复杂。”。

研究人员认为，TxHollower Loader可以通过一些攻击性框架或利用工具包供网络犯罪分子使用，最终增加了类似过程复制的技术在野外的使用。

最早的带有TxHollower功能的加载程序样本于2018年3月用于分发Netwire RAT，后来还发现与多个版本捆绑在一起，从v5开始一直到v5。2.

除此之外，enSilo的研究人员还发现了一些包裹在MSI文件等附加层中的样本，在某些情况下，装载机彼此嵌套。

研究人员说：“虽然我们没有观察到实际的感染情况，但我们能够找到一些我们怀疑与感染链有关的样本，比如TxHollower的下载程序和下载程序。文件类型包括PE可执行文件、JavaScript和文档。”。

要了解更多关于进程Doppelgäinging攻击技术的工作原理，您可以阅读我们在2017年发表的前一篇文章，如果您想了解更多关于TxHollower loader的各种版本，可以直接访问今天发表的enSilo博客文章。