Experts detail virtuele machine gebruikt door Wslink Malware Loader voor verduistering

Chargeur de logiciels malveillants Wslink Nachrichten

Cybersecurity-onderzoekers hebben meer licht geworpen op een kwaadwillende loader die als een server draait en ontvangen modules in het geheugen uitvoert, waardoor de structuur van een „geavanceerde meerlaagse virtuele machine“ die door de malware wordt gebruikt om onder de radar te vliegen, wordt blootgelegd.

Wslink, zoals de kwaadaardige loader wordt genoemd, werd voor het eerst gedocumenteerd door het Slowaakse cyberbeveiligingsbedrijf ESET in oktober 2021, waarbij in de afgelopen twee jaar zeer weinig telemetriehits werden gedetecteerd in Centraal-Europa, Noord-Amerika en het Midden-Oosten.

Analyse van de malware-samples heeft weinig tot geen aanwijzingen opgeleverd over de aanvankelijk gebruikte compromisvector en er zijn geen code, functionaliteit of operationele overeenkomsten ontdekt die erop wijzen dat dit een tool is van een eerder geïdentificeerde dreigingsactor.

Verpakt met een hulpprogramma voor bestandscompressie genaamd NsPack, maakt Wslink gebruik van wat a . wordt genoemd virtuele machine verwerken (VM), een mechanisme om een ​​applicatie op een platformonafhankelijke manier uit te voeren die de onderliggende hardware of het besturingssysteem abstraheert, als een verduisteringsmethode, maar met een cruciaal verschil.

Wslink Malware Loader

„Virtuele machines gebruikt als verduisteringsmotoren“ […] zijn niet bedoeld om platformonafhankelijke applicaties uit te voeren en ze gebruiken meestal machinecode die is gecompileerd of geassembleerd voor een bekende IS EEN [instruction set architecture]demonteren en vertalen naar hun eigen virtuele ISA,“ ESET-malware-analist Vladislav Hrčka zei.

„De kracht van deze verduisteringstechniek ligt in het feit dat de ISA van de VM onbekend is bij toekomstige reverse engineer – een grondige analyse van de VM, die erg tijdrovend kan zijn, is vereist om de betekenis van de virtuele instructies te begrijpen. en andere structuren van de VM.“

Bovendien wordt het gevirtualiseerde Wslink-malwarepakket geleverd met een divers arsenaal aan tactieken om reverse engineering te belemmeren, waaronder junkcode, codering van virtuele operanden, samenvoeging van virtuele instructies en het gebruik van een geneste virtuele machine.

„Verduisteringstechnieken zijn een soort softwarebescherming die bedoeld is om code moeilijk te begrijpen te maken en dus de doelstellingen ervan te verbergen; verduisterende virtuele-machinetechnieken worden op grote schaal misbruikt voor illegale doeleinden zoals verduistering van malwarevoorbeelden, omdat ze zowel analyse als detectie belemmeren,“ Hrčka zei.

David
Rate author
Hackarizona