新型多态Python恶意软件:每次执行都会改变自身特征
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
研究人员发现了一种名为nirorat.py的Python远程访问木马(RAT),其代码特征在每次运行时都会变化,导致检测率仅为26%。该恶意软件通过网络钓鱼邮件传播,利用自我修改和垃圾代码注入技术规避检测,给传统安全工具带来挑战。防御者需依赖行为分析和实时监控来应对。
🎯
关键要点
-
研究人员发现了一种名为nirorat.py的Python远程访问木马(RAT),其代码特征在每次运行时都会变化。
-
该恶意软件在VirusTotal平台上检测率仅为26%,利用自我修改和垃圾代码注入技术规避检测。
-
nirorat.py通过网络钓鱼邮件传播,并在内存中解包以避免在磁盘上留下痕迹。
-
为了实现持久化,该RAT会将变异后的脚本副本以随机文件名附加到启动文件夹中。
-
该RAT的检测规避主要依赖自我修改和垃圾代码插入两大核心机制。
-
selfmodifyingwrapper函数在运行时使用Python的inspect模块获取源代码并进行XOR编码,重建代码。
-
polymorphcode函数在核心例程中注入随机化的垃圾代码,生成几乎唯一的源代码。
-
防御者需依赖行为分析和实时监控来应对这种高级规避策略。
❓
延伸问答
nirorat.py恶意软件的主要特征是什么?
nirorat.py恶意软件每次运行时都会改变其代码特征,展现出多态行为。
nirorat.py是如何传播的?
该恶意软件主要通过包含无害Python脚本的网络钓鱼邮件传播,也可能通过受感染的网络共享扩散。
nirorat.py的检测率有多低?
在VirusTotal平台上,nirorat.py的检测率仅为26%。
nirorat.py使用了哪些技术来规避检测?
该恶意软件主要依赖自我修改和垃圾代码插入技术来规避检测。
防御者应如何应对nirorat.py的威胁?
防御者需依赖行为分析和实时监控,而非传统的基于签名的工具来应对这种威胁。
nirorat.py的自我修改机制是如何实现的?
自我修改机制通过selfmodifyingwrapper函数在运行时获取源代码并进行XOR编码,重建代码。
➡️
