近年来,越来越多的黑灰产组织将目光投向了Linux平台,导致Linux病毒如雨后春笋般不断涌现。显而易见,Linux病毒正处于高速增长的阶段。从安全分析的角度来看,相较于Windows系统上的恶意软件,Linux下的病毒所使用的对抗技术显得相对“稚嫩”。然而,随着双方投入的增加,可以预见,Linux平台上的恶意软件也会像Windows平台一样,充斥着各种奇技淫巧的对抗手段和多样化的壳技术,而Kiteshield,只是一个开始。
近一个月XLab的大网威胁感知系统系统捕获了一批VT低检测且很相似的可疑ELF文件。我们在满心期待中开始了逆向分析,期间经历了反调试,字串混淆,XOR加密,RC4加密等等一系列对抗手段。坦白的说,在这个过程中我们是非常开心的,因为对抗越多,越能说明样本的“不同凡响”,或许我们抓到了一条大鱼。
然而,结果却让人失望。这批样本之所以检测率低,是因为它们都使用了一个名为Kiteshield的壳。最终,我们发现这些样本都是已知的威胁,分别隶属于APT组织Winnti、黑产团伙暗蚊,以及某不知名的脚本小子。
尽管我们未能从这批样本中发现新的威胁,但低检测率本身也是一种重要的发现。显然,不同级别的黑灰产组织都开始使用Kiteshield来实现免杀,而目前安全厂商对这种壳还缺乏足够的认知。随着一年一度的大型网络演练临近,我们不排除攻击方使用Kiteshield的可能性。因此,我们认为有必要编写本文,向社区分享我们的发现,以促进杀软引擎对Kiteshield壳的处理能力。
详细内容请访问:
https://blog.xlab.qianxin.com/kiteshield_is_being_abused_by_cybercriminals_cn
原文始发于微信公众号(奇安信XLab):警惕:Kiteshield Packer正在被Linux黑灰产滥用
