在勒索软件的高风险博弈中,威胁者不断优化伪装手段。WithSecure 旗下 STINGR 小组的最新报告披露了一款名为“TangleCrypt”的新型恶意软件打包器,该工具在近期麒麟(Qilin)勒索软件攻击调查中被首次发现。尽管它采用先进加密技术隐藏“EDR 杀手”,但分析师发现其代码存在大量缺陷,可能导致恶意软件意外崩溃。
此次发现源于 2025 年 9 月初的一起事件:调查人员在加密开始前恢复了用于瘫痪防御系统的攻击组件。该打包器被用于隐藏 STONESTOP——一个专门用于强制终止安全软件的可执行文件。
分析显示:“打包器存在于近期勒索软件攻击中使用的两个可执行文件中,其 payload 均被识别为 EDR 杀手 STONESTOP,该工具利用恶意驱动 ABYSSWORKER 实现功能。”
STONESTOP 的工作原理是注册内核驱动 ABYSSWORKER,将其伪装成合法组件。在此次攻击活动中,恶意驱动被发现“伪装成 CrowdStrike Falcon Sensor 驱动”。激活后,恶意软件“包含可执行文件名称列表,并通过驱动终止所有匹配列表项的运行进程”。
TangleCrypt 得名于其复杂的多层混淆方法:它并非将数据附加在文件末尾,而是将恶意载荷深度嵌入文件的 资源节(PE Resources) 中。
WithSecure 研究人员详细描述了混淆链:“payload 通过 Base64 编码、LZ78 压缩和 XOR 加密 多层嵌套存储在 PE 资源中。”
该打包器最显著的特性之一是灵活性——攻击者可通过代码中隐藏的简单配置字符串决定恶意软件的运行方式。“加载器支持两种 payload 启动方法:在同一进程中或子进程中。”研究人员证实,“所选方法由附加在嵌入式 payload 后的字符串定义”,使威胁者能轻松切换注入技术。
尽管具备先进的隐身特性,TangleCrypt 显然仍处于 开发阶段。分析显示,恶意软件开发者在重新实现标准 Windows 函数时犯了关键错误,导致稳定性问题。
“虽然打包器整体设计有趣,但我们在加载器实现中发现了多个缺陷,可能导致 payload 崩溃或出现其他意外行为。”
一个典型缺陷与恶意软件处理管理员权限的方式有关:若在无必要权限的情况下执行,打包器无法正确初始化特定环境变量,进而自我销毁。“加载器实现中的不一致可能导致某些打包后的可执行文件行为异常,这或许解释了为何 TangleCrypt 在野外尚未广泛出现。”
TangleCrypt 的发现成为网络犯罪地下市场工具质量差异的典型案例:尽管加密概念合理,但执行过程暴露了 缺乏严格测试 的问题。
“然而,这也凸显了恶意软件开发能力的参差不齐:快速开发、有限测试和普遍的粗心可能引入漏洞,最终降低其有效性。”
对防御者而言,TangleCrypt 的出现强化了 超越已知文件签名检测 的必要性。“随着 EDR 杀手及其支持基础设施的不断演变,防御者不仅要应对复杂技术,还需警惕真实攻击中可能出现的快速迭代但不完善的实现。”
发表评论
您还未登录,请先登录。
登录