Hacker verwenden sogenannte Packers, um ihre Malware vor Sicherheitssoftware zu verbergen und deren Abwehrmechanismen zu umgehen. Diese Packers verschlüsseln und initialisieren die ursprüngliche Malware, sodass sie schwer zu erkennen und rückzuentwickeln ist. Cybersecurity-Analysten bei CheckPoint haben kürzlich entdeckt, dass diese Technik aktiv ausgenutzt wird, um Malware zu verstecken, insbesondere in den Finanz- und Regierungssektoren.
Technische Analyse der Bedrohung: Packers wie BoxedApp werden zunehmend von Bedrohungsakteuren missbraucht, die sie nutzen, um Malware zu verbreiten. Produkte wie BoxedApp Packer und BxILMerge bieten fortschrittliche Funktionen wie virtuelle Dateisysteme, Registrierungen, Prozesse, API-Hooking und Verpackung. Diese Funktionen ermöglichen es Angreifern, ihre Malware zu verstecken, Erkennungsmechanismen zu umgehen und die Analyse zu erschweren.
Für eine Anwendung, die mit BoxedApp gepackt wird, wird das Format als einzelne PE-Binärdatei generiert, die dann gepackt wird. Alle zerstörten Importe werden zur Laufzeit aus einem TLS-Callback gelöst. Dies richtet zwei Komponenten des virtuellen Speichers ein: das virtuelle Dateisystem und die virtuelle Registrierung.
BoxedApp emuliert I/O-Operationen und führt sie innerhalb dieses im Speicher befindlichen virtuellen Speichers aus, anstatt diese Aufrufe an das Betriebssystem zu senden und Dateien auf die Festplatte zu schreiben. Es ist auch möglich, den Inhalt der virtuellen Speicherdatei durch optionale Kompression weiter zu verbergen.
Verpackung von .NET-Anwendungen: Beim Verpacken einer .NET-Anwendung mit BoxedApp Packer umhüllt ein spezieller DotNetAppStub nativer PE das ursprüngliche .NET PE in der .bxpck-Sektion zusammen mit dem virtuellen Speicher. Dieser Stub initialisiert BoxedApp und ermöglicht die Ausführung des .NET PE im Speicher.
Das virtuelle Speichersystem von BoxedApp wird von BxILMerge verwendet, um .NET-Assemblies, nicht verwaltete Abhängigkeiten und andere Dateien in eine einzige .NET-Assembly zu integrieren. Der benutzerdefinierte Resolver der Assembly kümmert sich um die Ein- und Ausgabeoperationen dieser virtuellen Dateien, ohne etwas auf der Festplatte zu speichern.
Obwohl es möglich ist, die Dateien statisch aus dem virtuellen Speicher auszupacken, funktioniert das dynamische Dumpen gepackter PE aus dem Speicher und das Neuassemblieren der zur Laufzeit aufgelösten Importadressentabelle oft besser, da vorhandene statische Entpackungswerkzeuge nicht immer zuverlässig arbeiten.
Zunahme der Nutzung kommerzieller Packers: Der Einsatz von kommerziellen Packers wie BoxedApp Packer und BxILMerge hat im letzten Jahr deutlich zugenommen. Diese werden insbesondere verwendet, um RATs (Remote Access Trojans) und Stealers zu verbreiten.