2024 年 ANY.RUN 沙箱的5 种最常见的恶意软件技术

战术、技术和程序 (TTP) 构成了现代防御战略的基础。与入侵指标 (IOC) 不同，TTP 更稳定，使其成为识别特定网络威胁的可靠方法。根据 ANY.RUN 2024 年第三季度恶意软件趋势报告，以下是一些最常用的技术，并附有现实世界的示例。

禁用 Windows 事件日志记录 (T1562.002)#

破坏 Windows 事件日志有助于攻击者阻止系统记录有关其恶意行为的关键信息。

如果没有事件日志，登录尝试、文件修改和系统更改等重要详细信息都无法记录，从而导致安全解决方案和分析师获得的数据不完整或缺失。

Windows 事件日志可以通过多种方式进行操作，包括更改注册表项或使用“net stop eventlog”等命令。更改组策略是另一种常用方法。

由于许多检测机制依赖日志分析来识别可疑活动，因此恶意软件可以在较长时间内不被发现地运行。

示例：XWorm 禁用远程访问服务日志#

为了在安全的环境中检测、观察和分析不同类型的恶意 TTP，我们可以使用ANY.RUN 的交互式沙盒。该服务提供高度可配置的 Windows 和 Linux VM，让您不仅可以引爆恶意软件并实时查看其执行情况，还可以像在标准计算机上一样与其交互。

通过跟踪所有系统和网络活动，ANY.RUN 让您轻松快速地识别恶意操作，例如禁用 Windows 事件日志记录。

——ANY.RUN 沙盒会话展示 XWorm 爆炸的结果

查看此分析会话，其中广泛传播的远程访问木马 (RAT) XWorm 使用 T1562.002。

——沙盒共享有关恶意进程及其注册表修改的详细信息

具体来说，它修改注册表以禁用负责管理系统上的远程访问连接的 RASAPI32 的跟踪日志。

——该恶意软件通过修改多个注册表名称来禁用日志

通过将 ENABLEAUTOFILETRACING 和其他与 RASAPI32 相关的注册表名称设置为 0，攻击者可确保不会生成日志。这会使防病毒软件等安全软件更难识别该事件。

PowerShell 漏洞利用（T1059.001）#

PowerShell 是 Windows 内置的脚本语言和命令行 shell。攻击者通常利用它来执行各种恶意任务，包括操纵系统设置、窃取数据以及建立对受感染系统的持久访问权限。

当使用 PowerShell 的广泛功能时，威胁行为者可以利用混淆技术（例如编码命令或高级脚本方法）来绕过检测机制。

示例：BlanGrabber 使用 PowerShell 禁用检测#

以BlankGrabber 样本为例，这是一个用于从受感染系统窃取敏感数据的恶意软件家族。执行后，恶意程序会启动多个进程（包括 PowerShell），以更改系统设置，从而避免被检测到。

沙盒显示了 BlankGrabber 通过 PowerShell 执行的所有操作

ANY.RUN 可立即识别恶意软件的所有活动，并详细呈现这些活动。除此之外，BlankGrabber 还使用 PowerShell 禁用 Windows 操作系统的入侵防御系统 (IPS)、OAV 保护和实时监控服务。沙盒还会显示命令行内容，显示恶意软件使用的实际命令。

滥用 Windows 命令 Shell（T1059.003）#

攻击者还经常利用 Windows 命令 Shell (cmd.exe)，这是另一种用于合法管理任务（例如管理文件和运行脚本）的多功能工具。它的广泛使用使其成为隐藏有害操作的诱人选择。

通过使用命令 shell，攻击者可以执行各种恶意命令，从远程服务器下载有效负载到执行恶意软件。该 shell 还可用于执行 PowerShell 脚本以执行进一步的恶意活动。

由于 cmd.exe 是一种受信任且广泛使用的实用程序，恶意命令可以混入合法活动中，使安全系统更难实时识别和应对威胁。攻击者还可以在命令中使用混淆技术来进一步避免被发现。

示例：Lumma 在 Payload 执行中使用 CMD#

请看一下以下对 Lumma 的分析，Lumma 是一种广泛使用的信息窃取程序，自 2022 年以来一直活跃。

——沙盒为 cmd.exe 进程分配 100 分，将其标记为恶意进程

ANY.RUN 让我们深入了解了恶意软件通过 cmd 执行的操作。这些操作包括启动具有不寻常扩展名的应用程序以及更改可执行文件内容，这表明该进程已被攻击者滥用。

修改注册表运行项（T1547.001）#

为了确保恶意软件在系统启动时自动运行，攻击者会在特定的注册表项中添加用于在启动时启动程序的条目。

恶意文件还可以放置在启动文件夹中，这是用户登录时 Windows 自动扫描并执行程序的特殊目录。

通过使用注册表运行项和启动文件夹，攻击者可以保持长期持久性，从而允许他们继续进行恶意活动，例如数据泄露、网络内横向移动或进一步利用系统。

示例：Remcos 通过 RUN 键获得持久性#

以下是Remcos 执行此技术的一个示例。在本例中，被修改的注册表项是 HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN。

沙盒为不同的恶意行为分配相应的 TTP

通过在注册表的 RUN 键中添加条目，Remcos 后门可确保其在每次新登录时自动启动。这可使恶意软件在受感染的系统上保持持久性。

基于时间的逃避（T1497.003）#

基于时间的逃避是恶意软件用来避免被依赖沙盒的安全解决方案检测到的一种技术。许多沙盒的监控时间有限，通常只有几分钟。通过延迟恶意代码的执行，恶意软件可以在此窗口期间避免被检测到。

此 TTP 的另一个常见目的是使恶意软件在初始分析期间看起来是良性的，从而降低被标记为可疑的可能性。延迟执行会使行为分析工具更难将初始良性行为与后续恶意活动关联起来。

恶意软件通常依赖多个组件或文件来执行其感染过程。延迟可以帮助同步恶意软件不同部分的执行。例如，如果恶意软件需要从远程服务器下载其他组件，则延迟可以确保在执行主要负载之前这些组件已完全下载并准备就绪。

某些恶意活动可能依赖于其他任务的成功完成。引入延迟可以帮助管理这些依赖关系，确保感染过程中的每个步骤都按正确的顺序完成。

示例：DCRAT 在攻击期间延迟执行#

Dark Crystal RAT 是众多依靠基于时间的逃避技术来逃避受感染系统监视的恶意软件家族之一。

——ANY.RUN 提供内置的 MITRE ATT&CK Matrix，用于跟踪分析过程中发现的 TTP

在以下沙盒会话中，我们可以观察到 DCRAT 如何仅休眠 2000 毫秒（即 2 秒），然后继续执行。这样做很可能是为了确保感染过程下一阶段所需的所有文件都已准备好执行。

——ANY.RUN 沙箱显示每个恶意进程的详细信息

ANY.RUN 检测到的 DCRAT 的另一种基于时间的逃避尝试是使用合法工具 w32tm.exe 来延迟执行过程。