BatCloak：批处理文件混淆工具提升恶意软件隐蔽性

关键要点

• BatCloak 是一种批处理文件混淆工具，成功率高达 80%，能绕过 antivirus 检测。
• 恶意批处理文件通常被黑客用以入侵计算机和网络系统。
• 研究人员警告这种工具正越来越受对手青睐，使得检测恶意 BAT 文件更加困难。
• BatCloak 被 Trend Micro 归类为“完全不可检测的恶意软件”（FUD），使其在被攻击系统中难以被发现。

根据研究人员的警告，一种名为 “BatCloak” 的批处理文件混淆工具能够以高达 80% 的成功率让恶意 BAT文件逃过病毒检测引擎的监控。随着这一工具在对手中的日益流行，检测 BAT 文件的任务愈发艰巨。

恶意批处理文件是恶意黑客常用的工具，用于渗透网络和计算机系统。BAT 文件其实是一种文本文件，包含了一系列命令或脚本，用于执行 Windows基于的例程和应用程序。然而，通过混淆技术，攻击者能够制作出较难被检测的 BAT 文件，从而规避杀毒软件的检测。例如，黑客组织 TrickBot就以混淆批处理脚本为人所知，以便在系统中植入恶意可执行文件。

根据 Trend Micro 上周发布的一份报告，BatCloak 隐藏的 BAT 文件展现出“不断逃避安全解决方案的惊人能力”。

“自 2022 年以来收集的大部分样本都能够持续逃避杀毒检测，这使得威胁行为者能轻易地加载大量恶意软件和漏洞，且通过高度混淆的批处理文件进行操作。” —
引自
(PDF).

FUD 或 FUD？

研究人员把 BatCloak 定义为“完全不可检测的恶意软件”（FUD）。Trend Micro 使用的 FUD 这一术语不应与信息安全领域中的
FUD（引发恐惧、不确定和怀疑的分析）混淆。

“要实现 FUD 状态，恶意软件可能会采用加密、混淆和多态等多种技术，”Trend Micro 的研究员 Peter Girnus 和 Aliakbar
Zahravi 写道。 “FUD 恶意软件的目标是在被侵入的系统中保持完全不可检测，使得威胁行为者能够执行一系列包括网络间谍活动在内的恶意活动。”

Trend Micro 声明，在从公开库存中收集到的数百个 BAT 文件样本中，有 80%（或 784 个）“未被杀毒解决方案检测到”。

BatCloak 如何掩盖恶意脚本

恶意 BAT文件一直是杀毒引擎的难题。正如一篇文章所说，“批处理脚本的变数过多，无法写出一个有效的恶意脚本检测器来抓取新或‘自定义’的恶意软件脚本。虽然杀毒软件可能会抓到某些特别流行的内容，但几乎不可能对任何新或自定义的内容发出警报。”

Trend Micro 表示，BatCloak通过将混淆战术简化为一个易于使用的工具，提升了攻击的门槛，使各个技能水平的对手都能在攻击中应用此工具。研究人员将 BatCloak 与另一种现已被弃用的
BAT 混淆工具 Jlaive 密切相连。

“Jlaive 是一种可避免杀毒的软件工具，它可以将可执行文件转换为不可检测的批处理文件”。根据该工具的 ，混淆的 .NET 程序包并不保证能够正常工作。Trend Micro表示，BatCloak 引擎是 Jlaive 混淆算法的核心组件，现