标签: Morphisec

介绍--Chae$4 随着网络威胁的世界以惊人的速度发展，保持领先于这些数字危险对企业来说变得越来越关键。2023年1月， Morphisec 发现了一个令人震惊的趋势，许多客户，主要是物流和金融部门的客户，受到了 Chaes 恶意软件的新的高级变体的攻击。据观察，从2023年4月到6月，威胁的复杂程度在多次迭代中增加。 由于 Morphisec 的尖端AMTD(自动移动目标防御)技术，这些攻击中的许多都在造成重大破坏之前被阻拦。 这不是普通的 Chaes 变种。它经历了重大的改革：从完全用Python语言重写，这导致传统防御系统的检测率较低，到全面重新设计和增强的通信协议。此外，它 现在还拥有一套 新模块，进一步增强了它的恶意能力。 该恶意软件的目标不是随机的。它特别关注知名平台和银行的客户，如Mercado Libre、Mercado Pago、WhatsApp Web、 Itau Bank、Caixa Bank，甚至MetaMask.。此外，许多内容管理(CMS)服务也未能幸免，包括WordPress、Joomla、Drupal和Magento。值得注意的是， Chaes 恶意软件在网络安全领域并不是全新的。它的首次亮相可以追溯到2020年11月，当时Cybereason的研究人员强调了它的业务主要针对拉丁美洲的电子商务客户。 新的 Chaes 变体已被 Morphisec 命名为“Chae$4”(Chae$4)，因为它是第四个主要变体，而且核心模块中的调试打印显示“Chae$4”。 Chaes 历史记录和概述 2020年11月，Cybereason发布了对 Chaes 恶意软件的初步研究。该报告强调，该恶意软件至少自2020年年中以来一直活跃，主要针对拉丁美洲的电子商务客户，特别是巴西。 该恶意软件主要针对 MercadoLibre 用户，其特点是多阶段感染过程，能够窃取与 MercadoLibre 相关的敏感和财务数据，以及利用多种编程语言和 LOLbins 。 到2022年1月，Avast发表了一项随后的研究，表明 Chaes 的活动在2021年第四季度激增。Avast深入研究了该恶意软件的不同组件，揭示了其最新更新：完善的感染链、增强的与C2的通信、新集成的模块(他们称之为“扩展”)，以及关于每个感染阶段和模块的细粒度细节。 几周后，也就是2022年2月，这位威胁人员发布了对阿瓦斯特研究的回应，如下图所示： 事实证明，确定威胁参与者的性质--无论是个人还是团体--是难以捉摸的。红色的高亮部分暗示了小组的可能性，而绿色的高亮部分反映了个人的注释。鉴于这位人员身份的模棱两可，因此为这位威胁性人员选择了名为《路西法》的片名。这一决定 受到博客名称 和标识符“Lucifer6”的影响，该标识符用于加密与C2服务器的通信。 总结了一系列的发展，2022年12月标志着另一个关键时刻，暴风雨的研究小组 SideChannel 公布了进一步的见解，介绍了该恶意软件采用WMI来收集系统数据。 正在升级到版本4 这些先前提到的研究出版物涵盖了CHAES恶意软件的版本1-3。 Chaes 的这一最新版本推出了重大的转换和增强，并被 Morphisec 称为版本4。 重大变化包括： -改进的代码体系结构和改进的模块化。 -增加了加密层和增强的隐形功能。 -主要转移到经历解密和动态内存中执行的Python。 -用一种定制的方法来监控和拦截Chromium浏览器的活动，以取代Puppeteer。 -针对凭据窃取的扩展服务目录。 -采用 WebSockets 进行模块与C2服务器之间的主要通信。 -动态解析C2服务器地址的DGA实现。 鉴于本评论 内容的深度和广度，分析的结构旨在迎合广泛的读者，从SOC和CISO到检测工程师、研究人员和安全爱好者。 分析首先概述了感染链， 这保持 了相对一致，然后对恶意软件的每个模块进行了简洁的总 结。后续各节将更深入地探讨每个阶段/模块的具体内容。 由于恶意软件在各个阶段/模块中使用重复机制，因此我们指定了一个标题为“附加组件”的部分。在这里，读者可以找到整个帖子中引用的每种机制的复杂细节。 这种结构化的方法确保读者可以快速收集恶意软件的概述，或者沉浸在其复杂的组件中。 注：由于以前的分析和研究笔记(前面提到)在交付方法上没有重大更新，本次审查将集中在最近的发展。对于那些不熟悉感染方法的人，请参考参考研究。 感染是通过执行恶意的、几乎未被检测到的MSI安装程序开始的，该安装程序通常伪装成Java JDE安装程序或防病毒软件安装程序。执行恶意安装程序将导致恶意软件在 %APPDATA%/ 文件夹下的专用硬编码文件夹中部署和下载所需文件。 该文件夹包含Python库、具有不同名称的Python可执行文件、加密文件和稍后将使用的Python脚本。接下来，恶意软件解包核心模块，我们将其称为 ChaesCore ，该模块负责使用计划任务设置持久性并迁移到目标进程。在初始化阶段之后， ChaesCore 开始其恶意活动并与C2地址通信，以便下载外部模块并将其加载到受感染的系统中。 在整个调查过程中，确定了七个不同的模块，它们可以在不更改核心功能的情况下独立更新： 1.init模块-攻击者发送的第一个模块用作身份识别/新受害者注册。它收集有关受感染系统的大量数据。 2.在线模块-将在线消息发送回攻击者。就像一个信标模块，监控哪些受害者仍在活动。 3.Chronod模块-一个凭证窃取和剪贴器。此模块负责拦截浏览器活动以窃取用户的信息，如登录过程中发送的凭据、与银行网站通信时的银行信息，并具有尝试窃取BTC、ETH和PIX传输的剪辑功能。 4.Appita模块-在结构和用途上与 Chronod 模块非常相似，但看起来它专门针对 Itau 银行的应用程序(itauplicativo.exe)。 5.Chrautos模块--在 Chronod 和 Appita 模块的基础上改进的模块。它提供了更好的代码体系结构，能够轻松扩展模块完成的目标和任务。目前的版本侧重于银行和WhatsApp数据，但仍在开发中。 6.窃取模块-负责从基于Chromium的浏览器窃取数据。被盗数据包括登录数据、信用卡、 Cookie和自动填充。 7.文件上传模块-能够从受感染的系统搜索文件并将文件上传到C2服务器。在当前版本中，该模块只上传与 MetaMASK 的Chrome扩展相关的数据。 大多数模块在以前的版本中已经以某种形式存在，但这个版本为那些具有改进的功能、不同的代码库和实现其目标的独特技术的模块提供了重新实现。 另一件需要注意的事情是威胁参与者对加密货币的浓厚兴趣，这由使用 剪贴器 窃取BTC和ETH以及窃取MetaMask凭据和文件的文件上传模块来表示。 了解虹科 网络安全更多技术干货/应用案例，欢迎前往【虹科网络安全】官方网站： https://haocst.com/ 联系我们 扫码加入虹科网络安全交流群或微信公众号，及时获取更多技术干货/应用案例。

随着 ChatGPT 、 Copilot 、 Bard 等人工智能 (AI) 工具的复杂性持续增长，它们给安全防御者带来了更大的风险，并给采用 AI 驱动的攻击技术的攻击者带来了更大的回报。 作为一名安全专业人员，您必须维护一个由多个操作系统 (OS) 组成的多样化的生态系统，以便在采用新的、现代的 B2B 和 B2C 超大规模、超高速、数据丰富的接口。您寻找并依赖最新和最好的安全产品来帮助您抵御攻击者。 然而，当与复杂的人工智能驱动的技术对抗时，现有的安全产品和实践缺少一个关键的防御元素：一种能够击败下一代机器驱动的、启用人工智能的对手的技术，这些对手擅长机器学习，以惊人的速度和规模创造新的自适应漏洞。 随着人们对生成 AI 系统及其违反检测和预防技术的能力的关注，一个明确的模式开始出现。 信息安全专业人员关心的是——生成式人工智能可以被利用来： u 增加攻击面：创建传统安全工具不易检测到的新攻击载体。 u 逃避检测：生成专门用于逃避安全工具检测的恶意代码。 u 增加复杂性：创建更难防御的日益复杂的攻击或技术变体。 u 更快的速度和更大的规模：以安全团队难以跟上的规模和速度发动攻击。 防御者的视角 人工智能 (AI) 及其机器学习 (ML) 和深度学习 (DL) 子集是现代端点保护平台 (EPP) 和端点检测与响应 (EDR) 产品不可或缺的一部分。 这些技术通过学习大量已知的恶意和良性行为或代码模式的数据来工作。这种学习使他们能够创建可以预测和识别以前未见过的威胁的模型。 具体地说，人工智能可用于： u 检测异常：识别终端行为中的异常，如不寻常的文件访问模式或系统设置的更改。这些异常可能表明有恶意活动，即使安全产品不知道具体的行为。 u 行为分类：将终端行为分为恶意行为和良性行为。这使得安全产品可以将注意力集中在最有可能的威胁上。 u 判断：判断特定行为或代码模式是恶意的还是良性的。这使安全产品可以采取措施减轻威胁，例如阻止访问文件或终止进程。 人工智能的使用现在正在成为事实上的标准，通过识别事件的背景和理解终端的行为来帮助减少误报，以消除警报，并使用以前发送的大量遥测数据追溯纠正错误分类的信息。 攻击者的视角 随着人工智能的发展和变得越来越复杂，攻击者将找到新的方法来利用这些技术为自己带来好处，并加速开发能够绕过基于人工智能的终端保护解决方案的威胁。 攻击者可以利用人工智能攻击目标的方法包括： u 自动化漏洞扫描：攻击者可以使用人工智能自动扫描大量代码和系统中的漏洞。使用机器学习算法，攻击者可以识别模式代码本身、相关配置甚至是独立的服务，以发现潜在的漏洞，并据此确定攻击的优先级。它们训练以寻找绕过检测的方法。 u 对抗性机器学习：对抗性机器学习是一种使用人工智能在其他人工智能系统中寻找弱点的技术。通过利用基于人工智能的安全系统中使用的算法中的漏洞，攻击者可以绕过这些防御措施并获得敏感数据的访问权。 u 漏洞生成：攻击者可以利用人工智能生成绕过传统安全措施的新漏洞。通过分析目标系统和识别漏洞， AI 算法可以生成新的代码，这些代码可以利用这些弱点并获得对系统的访问权限。 u 社会工程：攻击者可以使用人工智能生成有说服力的钓鱼电子邮件或社交媒体消息，诱骗受害者泄露敏感信息或下载恶意软件。利用自然语言处理和其他人工智能技术，攻击者可以使这些消息高度个性化，更具说服力。 u 密码破解：攻击者可以使用人工智能使用暴力破解密码。使用机器学习算法从之前的尝试中学习，攻击者可以在更短的时间内增加他们破解密码的机会。 我们预计攻击者将积极使用人工智能来自动化漏洞扫描，生成引人注目的钓鱼消息，在基于人工智能的安全系统中找到弱点，生成新的漏洞并破解密码。随着人工智能和机器学习的发展，组织必须保持警惕，并跟上基于人工智能的攻击的最新发展，以保护自己免受这些威胁。 使用基于人工智能系统的组织必须质疑其基础数据集、训练集和实现此学习过程的机器的鲁棒性和安全性，并保护系统免受未经授权和可能武器化的恶意代码。发现的弱点，或注入到基于人工智能的安全解决方案的模型中，可能导致它们的保护被全局绕过。 Morphisec 之前曾观察到由高技能和资源丰富的威胁行为者发起的复杂攻击，如国家行为者、有组织的犯罪集团或先进的黑客集团。基于人工智能的技术的进步，通过自动化多态和规避恶意软件的创造，可以降低创建复杂威胁的进入门槛。 这不仅仅是对未来的担忧 利用人工智能并不需要绕过今天的终端安全解决方案。逃避 EDR 和 EPP 检测的策略和技术有很好的记录，特别是在内存操作和无文件恶意软件中。根据 Picus Security 的数据，在恶意软件中使用的顶级技术中，逃避和内存技术占了 30% 以上。 另一个重要的问题是 EPP 和 EDR 的反应性，因为它们的检测通常是在违反之后进行的，并且补救不是完全自动化的。根据 2023 年 IBM 数据泄露报告，检测和控制入侵的平均时间增加到 322 天。安全人工智能和自动化的广泛使用将这一时间缩短到 214 天，这在攻击者建立持久性并能够潜在地窃取有价值的信息之后仍然很长时间。 是时候考虑一种不同的范式 在无休止的军备竞赛中，攻击者将利用人工智能来产生能够绕过基于人工智能的保护解决方案的威胁。然而，要使所有攻击成功，它们必须破坏目标系统上的资源。 如果目标资源不存在，或者不断被改变 ( 移动 ) ，那么目标系统的机会就会降低一个数量级。 举个例子，假设一名训练有素且极其聪明的狙击手试图攻破目标。如果目标隐藏起来，或者不断移动，狙击手的成功机会就会降低，甚至会因为在错误的位置反复射击而危及狙击手。 利用 AMTD 阻止生成性 AI 攻击 进入自动移动目标防御 (AMTD) 系统，旨在通过变形——随机化系统资源——移动目标来防止复杂的攻击。 Morphisec 的预防优先安全 ( 由 AMTD 提供支持 ) 使用获得专利的零信任执行技术来主动阻止规避攻击。当应用程序加载内存空间时，该技术会变形并隐藏进程结构和其他系统资源，部署轻量级骨架陷阱来欺骗攻击者。无法访问原始资源，恶意代码失败，从而停止并记录具有完整取证详细信息的攻击。 这种预防优先的方法可以冷酷地阻止攻击，即使它们绕过了现有的基于人工智能的端点保护工具。因此， AMTD 系统提供了针对复杂攻击的额外一层防御层。由于防止了攻击，信息安全团队获得了关键的时间来调查威胁，同时知道他们的系统是安全的。 AMTD 的确定性还意味着该解决方案会生成高保真警报，这有助于确定安全团队工作的优先顺序，从而减少警报疲劳。 Morphisec 的 AMTD 技术可保护 5,000 个组织中的 900 多万个终端，每天可防止绕过现有终端安全解决方案的数以万计的规避攻击和内存攻击，包括零日攻击、勒索软件、供应链攻击等。 Morphisec 阻止的攻击通常是未知的，该公司的威胁实验室团队首先在野外观察到了这些攻击。 Morphisec 最近阻止的规避威胁的例子： -GuLoader ——一种针对美国法律和投资公司的先进变体。 -InvalidPrinter ——一个高度隐蔽的加载器，在 Morphisec 披露的时候对病毒总数没有检测。 -SYS01 Stealer ——瞄准政府和关键基础设施。 -ProxyShellMiner—— 针对 MS-Exchange 中的 ProxyShell 漏洞的一个新变体。 -Babuk 勒索软件 —— 被 Morphisec 阻止的泄漏的 Babuk 勒索软件的一个新的未知变体，但观察到需要两周以上的主要 EPPs 和 EDRs 来调整他们的检测逻辑。 - 遗留系统 —— 为 windows 和 Linux 遗留操作系统提供强大的保护。 Morphisec 阻止了数百个针对 windows 7 、 8 、 2008r2 、 2012 和遗留 Linux 发行版的恶意软件家族。 AMTD 的威力已经证明，它与多波终端保护解决方案一起证明了其有效性，攻击者已开发出绕过它们的策略。从基于签名的 AV 、 ML-Powered NextGen AVs(NGAV) 到目前的 EDR 和 XDR 。 AMTD 是终端保护的自然演变，提供真正的安全保护，免受人工智能攻击。 联系我们 Tel: 13533491614 邮箱：network@hcaco.com 官网：haocst.com