黑客使用 Ezuri 內存加載器規避安全檢測

最近，多個黑客開始使用Ezuri內存加載器，將惡意軟件直接執行到受害者的內存中。

根據AT＆T的Alien Labs的研究人員的說法，惡意軟件作者正在為其惡意代碼選擇Ezuri內存加載器。

專家指出，盡管這種技術在Windows惡意軟件中很常見，但在Linux攻擊中卻很少。

“加載程序解密惡意軟件并使用memfd create執行它（如 2018年此博客中所述）。創建進程時，系統將文件描述符返回到’/ proc / PID / fd /‘中的匿名文件，該文件僅在文件系統中可見。” 閱讀AT＆T的Alien Labs發表的帖子。

研究人員在攻擊中觀察到的加載器是用Golang編寫的，并借用了用戶guitmz于2019年3月在GitHub上發布的Ezuri代碼。用戶將其項目描述為一個簡單的Linux ELF運行時密碼器，他編寫了代碼來演示如何使用memfd_create syscall從內存執行ELF二進制文件。

所述guitmz用戶還測試其對VirusTotal代碼以證明它是能夠避免檢測，特別是，他表明，能夠獲得零率檢測為一個已知Linux.Cephei樣品一旦被使用Ezuri代碼（注入ddbb714157f2ef91c1ec350cdf1d1f545290967f61491404c81b4e6e52f5c41f） 。

執行代碼后，它將詢問用戶要加密的有效負載的路徑以及用于AES加密的密碼，以將惡意軟件隱藏在加載程序中。如果未提供密碼，該工具將生成一個。然后，打包程序會使用內部加密的有效負載來編譯加載程序，以便一旦將其交付到目標系統后就可以解密并在內存中執行。

8月，可能與“guitmz”相關聯的用戶“TMZ” 在成員共享惡意軟件的論壇上發布了相同的代碼。

AT＆T Alien Labs的研究人員在過去幾個月中發現了幾位利用Ezuri加載程序的惡意軟件作者，其中之一是至少從2020年以來就一直活躍在TeamTNT中的威脅參與者。

TeamTNT僵尸網絡是一種加密挖礦惡意軟件操作，自4月以來一直處于活動狀態，針對Docker安裝，它是第一個竊取AWS憑證的加密挖礦機器人。

專家注意到，該小組還使用了與原始裝載機相似的Ezuri裝載機。

“2020年10月，Palo Alto Networks Unit42確定了TeamTNT使用的名為“ Black-T”的加密礦惡意軟件的新變種。” 此示例首先安裝三個網絡掃描儀，然后檢查內存以嘗試檢索位于內存中的任何類型的憑據。此外，Unit42在某些TNT腳本中識別了幾個德語字符串。” 繼續報告。*

“ Palo Alto Networks Unit42確定的最后一個樣本實際上是Ezuri加載器。解密后的有效負載是帶有UPX的ELF文件，它是TeamTNT的已知示例，最早出現在2020年6月（e15550481e89dbd154b875ce50cc5af4b49f9ff7b837d9ac5b5594e5d63966a3）。*

總之，這種加載器在vxer中很流行，例如所描述的將ELF二進制文件加載到內存中的技術。Ezuri允許惡意軟件作者改善其操作，提高已知有效載荷的規避能力。

“數位惡意軟件作者一直在使用開源Golang工具充當惡意軟件加載器，并使用一種已知技術將ELF二進制文件加載到內存中，并避免在磁盤上使用易于檢測的文件。” 總結報告。“作者使用開源工具Ezuri加載了以前看到的有效載荷，并避免了文件中的防病毒檢測。”