為了避免防守方透過虛擬環境分析惡意行為,駭客往往在惡意程式導入多種機制來迴避,但如今有人將歪腦筋動到了顯示晶片(GPU)身上。
資安業者Zscaler揭露名為CoffeeLoader的惡意程式載入工具,駭客使用該工具最早可追溯到去年9月,主要的功能是下載第2階段的有效酬載並執行,同時防範端點電腦的防毒軟體、EDR系統的偵測。研究人員提及,這些駭客使用多種手法來迴避偵測,其中最特別的部分,就是透過特製的打包工具Armoury夾帶惡意軟體,該工具使用GPU執行相關程式碼,而能阻止資安人員透過虛擬環境來進行分析。
除此之外,駭客也運用了其他手法來增加資安研究員的調查難度,包含呼叫記憶體堆疊欺騙、睡眠混淆(Sleep Obfuscation),濫用Windows Fiber功能。附帶一提,若是無法正常存取C2的頻道,該惡意程式會採用動態網域名稱演算法(DGA),並濫用憑證避免TLS連線遭到中間人攻擊(MitM)。研究人員強調,駭客已將CoffeeLoader用於實際攻擊,在受害電腦部署竊資軟體Rhadamanthys的Shell Code。
其中的惡意打包工具Armoury,研究人員指出其命名由來,源自駭客冒用華碩用來整合與控制多種軟硬體的公用程式Armoury Crate。此打包工具會挾持該公用程式的輸出內容,並將其置換成自行解密的Shell Code,而這組Shell Code會使用GPU的運算資源執行解密程式碼的工作。附帶一提的是,由於駭客的程式碼透過OpenCL程式庫就能運作,因此不需要仰賴外部元件,也不必搭配特定的GPU硬體。
另一個相當罕見的手法是「睡眠混淆」,駭客的目的是在記憶體裡埋藏意圖,避免資安工具掃描察覺有異。在這種手法裡,惡意軟體的程式碼在睡眠狀態會加密處理,使得惡意軟體元件只有在解密狀態才會出現在記憶體內。此外,駭客在使用睡眠混淆手段時,也可能濫用作業系統的使用者模式多工機制Windows Fiber,從而讓部分EDR系統難以追蹤。
