BatCloak:批处理文件混淆工具提升恶意软件隐蔽性
关键要点
- BatCloak 是一种批处理文件混淆工具,成功率高达 80%,能绕过 antivirus 检测。
- 恶意批处理文件通常被黑客用以入侵计算机和网络系统。
- 研究人员警告这种工具正越来越受对手青睐,使得检测恶意 BAT 文件更加困难。
- BatCloak 被 Trend Micro 归类为“完全不可检测的恶意软件”(FUD),使其在被攻击系统中难以被发现。
根据研究人员的警告,一种名为 “BatCloak” 的批处理文件混淆工具能够以高达 80% 的成功率让恶意 BAT文件逃过病毒检测引擎的监控。随着这一工具在对手中的日益流行,检测 BAT 文件的任务愈发艰巨。
恶意批处理文件是恶意黑客常用的工具,用于渗透网络和计算机系统。BAT 文件其实是一种文本文件,包含了一系列命令或脚本,用于执行 Windows基于的例程和应用程序。然而,通过混淆技术,攻击者能够制作出较难被检测的 BAT 文件,从而规避杀毒软件的检测。例如,黑客组织 TrickBot就以混淆批处理脚本为人所知,以便在系统中植入恶意可执行文件。
根据 Trend Micro 上周发布的一份报告,BatCloak 隐藏的 BAT 文件展现出“不断逃避安全解决方案的惊人能力”。
“自 2022 年以来收集的大部分样本都能够持续逃避杀毒检测,这使得威胁行为者能轻易地加载大量恶意软件和漏洞,且通过高度混淆的批处理文件进行操作。” —
引自
(PDF).
FUD 或 FUD?
研究人员把 BatCloak 定义为“完全不可检测的恶意软件”(FUD)。Trend Micro 使用的 FUD 这一术语不应与信息安全领域中的
FUD(引发恐惧、不确定和怀疑的分析)混淆。
“要实现 FUD 状态,恶意软件可能会采用加密、混淆和多态等多种技术,”Trend Micro 的研究员 Peter Girnus 和 Aliakbar
Zahravi 写道。 “FUD 恶意软件的目标是在被侵入的系统中保持完全不可检测,使得威胁行为者能够执行一系列包括网络间谍活动在内的恶意活动。”
Trend Micro 声明,在从公开库存中收集到的数百个 BAT 文件样本中,有 80%(或 784 个)“未被杀毒解决方案检测到”。
BatCloak 如何掩盖恶意脚本
恶意 BAT文件一直是杀毒引擎的难题。正如一篇文章所说,“批处理脚本的变数过多,无法写出一个有效的恶意脚本检测器来抓取新或‘自定义’的恶意软件脚本。虽然杀毒软件可能会抓到某些特别流行的内容,但几乎不可能对任何新或自定义的内容发出警报。”
Trend Micro 表示,BatCloak通过将混淆战术简化为一个易于使用的工具,提升了攻击的门槛,使各个技能水平的对手都能在攻击中应用此工具。研究人员将 BatCloak 与另一种现已被弃用的
BAT 混淆工具 Jlaive 密切相连。
“Jlaive 是一种可避免杀毒的软件工具,它可以将可执行文件转换为不可检测的批处理文件”。根据该工具的 ,混淆的 .NET 程序包并不保证能够正常工作。Trend Micro表示,BatCloak 引擎是 Jlaive 混淆算法的核心组件,现