恶意软件恶棍越来越倾向于滥用合法的商业打包应用程序来逃避检测.
Check Point Research的威胁研究员JiříVinopal表示,这一趋势在过去12个月里变得特别流行,BoxedApp似乎是最受欢迎的产品之一.
研究人员声称,世界上一些最流行的恶意软件菌株正在滥用BoxedApp来逃避静态分析.
绝大多数是远程访问特洛伊木马(RAT),如代理特斯拉、AsyncRAT和QuasarRat,尽管其他案件涉及勒索软件品系,如LockBit变体和信息窃取程序,如Redline,BoxedApp已经存在了几年,但其SDK的滥用从2023年3月开始激增.
它为攻击者提供了一系列好处,Check Point Research认为这一点大于负面影响.
在BoxedApp提供的更显著的功能中,不良行为者尤其会感兴趣的功能包括:应用程序安全专家肖恩·赖特告诉我们:“虚拟进程可能会使反恶意软件和其他端点保护系统更难检测到通过BoxedApp SDK运行的恶意软件.
这些产品中的许多都依赖于这样一个事实,即这些进程直接在系统上运行,而不是虚拟进程,然后虚拟进程可能会对保护工具隐藏起来.
因此,从攻击者的角度来看,这有助于防止检测,这将是他们的主要目标之一.
他们没有被检测到的时间越长,他们可能获得的数据就越多.
“,根据Check Point Research的数据,BoxedApp程序在被反病毒解决方案扫描时确实倾向于产生高的假阳性率.
报告补充说,即使是使用BoxedApp打包的非恶意应用程序,比如一个简单的“Hello World”程序,也会被许多反病毒引擎标记.
谷歌旗下的恶意软件平台VirusTotal对1200个真正的恶意样本进行了分析,发现25%的样本在使用BoxedApp打包时被标记.
然而,这可能是负面的,也可能是正面的,这取决于你的观点.
VirusTotal是谷歌旗下的恶意软件平台,它显示了哪些供应商的解决方案会针对不同的有效负载推送警报.
虽然BoxedApp打包的恶意软件有足够的机会在组织的SOC中触发警告,但它也可能被攻击者利用,因为安全团队可能会禁用与运行BoxedApp SDK的应用程序相关的警报.
赖特说:“我对组织的建议是,如果可能的话,限制BoxedApp应用程序的使用.
”“如果你需要使用这些类型的应用程序,可以考虑利用控制措施,比如对这些应用程序进行签名,正如[Check Point Research]所写的那样,这也有助于降低误报.
”当更深入地研究VirusTotal提交的文件时,Vinopal发现大多数来自土耳其、美国和德国,尽管有一小部分来自世界各地的国家.
研究人员在博客中写道:“大多数被认为是恶意的样本都被用于攻击金融机构和政府行业.
”使用BoxedApp产品打包恶意有效负载使攻击者能够降低检测率,加强分析,并使用BoxedApp SDK的高级功能,例如虚拟存储,这些功能通常需要很长时间才能从头开发.
注册中心联系BoxedApp请其置评,但没有立即做出回应.
对于那些正在寻找更好地检测BoxedApp滥用的方法的人,Check Point Research在其报告中提供了一组Yara签名,以帮助检测打包程序,同时提取打包应用的所有详细信息和二进制散列.®.