新的 MisterioLNK 加载器和混淆工具基本上未被安全工具检测到 - 但威胁行为者却发现了它。

Cyble 的研究人员发现了一种新的加载器构建器和混淆工具，该工具基本上无法被安全工具检测到。

Cyble 研究与情报实验室 (CRIL) 的研究人员今天在一篇博客文章中详细介绍了他们的发现。研究人员写道，在GitHub上发现的“MisterioLNK”加载器构建器“对安全防御构成了重大挑战，因为该工具生成的文件目前在传统安全系统中的检测率极低或为零”。

MisterioLNK 开源加载器构建器利用 Windows 脚本引擎执行恶意负载，同时使用混淆技术。“它被设计成谨慎地运行，在启动文件之前先将其下载到临时目录中，从而增强其规避能力，并使传统安全措施难以检测，”Cyble 说。

MisterioLNK 支持五种加载器方法 - HTA、BAT、CMD、VBS 和 LNK - 以及 VBS、CMD 和 BAT 的混淆方法，并计划增加对 HTA 混淆的支持。该项目目前处于测试阶段，开发人员“对使用该软件进行的非法活动不承担任何责任”。

威胁者正在使用 MisterioLNK 部署恶意软件

虽然安全工具很难检测到加载器构建器，但网络犯罪分子显然很容易找到它。Cyble 研究人员表示，威胁行为者 (TA) 已经开始使用 MisterioLNK 生成混淆文件，以部署恶意软件，例如Remcos RAT、DC RAT 和 BlankStealer。“令人震惊的是，这些加载器在很大程度上逃避了检测，其中许多仍未被大多数安全供应商发现，”报告称。

研究人员生成了所有加载器文件组合，以评估它们逃避检测的能力。六个文件中只有一个被检测到，有 16 次检测，两个文件各有一次检测，三个文件没有检测到。安全供应商在检测构建器生成的 LNK 和混淆的 VBS 加载器方面取得了一些成功，但 BAT、CMD、HTA 和 VBS 加载器文件的检测率很低（下图）。

Misterio 的加载器构建器、混淆器和 LNK 模块 Cyble 表示，Misterio.exe 是一个基于 .NET 的工具，由两个主要模块组成：加载器构建器和混淆器。

研究人员表示：“构建器接受托管恶意第二阶段负载的 URL，并根据用户的选择生成 BAT、CMD、HTA、LNK 或 VBS 文件。”这些文件旨在连接到 URL、下载负载并执行它。

BAT/CMD 加载器旨在使用“curl”命令从指定的 URL 下载文件，然后执行下载的文件。生成的脚本会使用自定义文件图标保存，以增加欺骗性，而混淆则增加了额外的隐蔽性。

HTA（HTML 应用程序）加载器使用 JavaScript 和 ActiveX 对象来执行下载和运行文件的命令。HTA 混淆功能目前未启用，但将来可能会实现。

VBS Loader使用shell对象命令下载并执行目标文件，同时还包括混淆过程。

LNK Loader Builder 创建一个快捷方式文件 (.lnk)，该文件在执行时会触发命令来下载并运行目标文件。

研究人员表示：“这些模块共同构成了一个强大的工具包，用于生成和隐藏脚本，这些脚本可以在最少的检测下传递和执行有效载荷。”

Cyble 的建议

安全团队应确保他们的安全解决方案能够识别和检测 MisterioLNK Builder 生成的混淆模式和脚本格式，并在他们的防御中添加限制策略和行为检测策略。

完整的 Cyble博客进一步探讨了 MisterioLNK 的功能，并列出了 MITRE ATT&CK 技术和妥协指标 (IoC)。

https://cyble.com/blog/misteriolnk-the-open-source-builder-behind-malicious-loaders/