专家详细介绍了Wslink 恶意软件加载程序用于混淆的虚拟机

网络安全研究人员对作为服务器运行并在内存中执行接收到的模块的恶意加载程序有了更多了解，揭示了恶意软件使用的“高级多层虚拟机”的结构在雷达下飞行。

被称为恶意加载程序的 Wslink 最早于 2021 年 10 月由斯洛伐克网络安全公司 ESET记录在案，过去两年在中欧、北美和中东地区几乎没有检测到遥测命中。

对恶意软件样本的分析几乎没有发现关于使用的初始攻击向量的线索，也没有发现任何代码、功能或操作相似性表明这是来自先前确定的威胁参与者的工具。

Wslink 包含一个名为 NsPack 的文件压缩实用程序，它使用所谓的进程虚拟机(VM)，这是一种以独立于平台的方式运行应用程序的机制，它抽象了底层硬件或操作系统，作为一种混淆方法，但具有一个关键的区别。

ESET 恶意软件分析师 Vladislav Hrčka说：“用作混淆引擎的虚拟机 [...] 并非旨在运行跨平台应用程序，它们通常采用为已知ISA [指令集架构] 编译或组装的机器代码，将其反汇编，然后将其转换为自己的虚拟 ISA，这种混淆技术的优势在于虚拟机的 ISA 对任何潜在的逆向工程师来说都是未知的——需要对虚拟机进行彻底的分析，这可能非常耗时，但需要了解虚拟指令的含义。和 VM 的其他结构。”

更重要的是，虚拟化的 Wslink 恶意软件包带有多种策略来阻碍逆向工程，包括垃圾代码、虚拟操作数的编码、虚拟指令的合并以及嵌套虚拟机的使用。

混淆技术是一种软件保护，旨在使代码难以理解，从而隐藏其目标；混淆虚拟机技术已被广泛滥用于非法目的，例如混淆恶意软件样本，因为它们阻碍了分析和检测。

大规模供应链攻击，分布超过 800 个恶意 NPM 包

一个被称为“ RED-LILI ”的威胁参与者通过发布近 800 个恶意模块与正在进行的针对 NPM 包存储库的大规模供应链攻击活动相关联。

“通常，攻击者使用一个匿名的一次性 NPM 帐户发起攻击，”以色列安全公司 Checkmarx说。“这一次，攻击者似乎完全自动化了 NPM 帐户的创建过程，并开设了专用帐户，每个包一个，这使得他的新恶意包批次更难被发现。”

这些发现建立在JFrog和Sonatype最近的报告之上，这两份报告都详细介绍了数百个 NPM 包，这些包利用依赖混淆和域名仿冒等技术针对 Azure、Uber 和 Airbnb 开发人员。

原文始发于微信公众号（河南等级保护测评）：专家详细介绍了Wslink 恶意软件加载程序用于混淆的虚拟机