新型多态Python恶意软件:每次执行都会改变自身特征
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
研究人员发现了一种名为nirorat.py的Python远程访问木马(RAT),其代码特征在每次运行时都会变化,导致检测率仅为26%。该恶意软件通过网络钓鱼邮件传播,利用自我修改和垃圾代码注入技术规避检测,给传统安全工具带来挑战。防御者需依赖行为分析和实时监控来应对。
🎯
关键要点
- 研究人员发现了一种名为nirorat.py的Python远程访问木马(RAT),其代码特征在每次运行时都会变化。
- 该恶意软件在VirusTotal平台上检测率仅为26%,利用自我修改和垃圾代码注入技术规避检测。
- nirorat.py通过网络钓鱼邮件传播,并在内存中解包以避免在磁盘上留下痕迹。
- 为了实现持久化,该RAT会将变异后的脚本副本以随机文件名附加到启动文件夹中。
- 该RAT的检测规避主要依赖自我修改和垃圾代码插入两大核心机制。
- selfmodifyingwrapper函数在运行时使用Python的inspect模块获取源代码并进行XOR编码,重建代码。
- polymorphcode函数在核心例程中注入随机化的垃圾代码,生成几乎唯一的源代码。
- 防御者需依赖行为分析和实时监控来应对这种高级规避策略。
➡️
