*** 犯罪分子常常会选用多层的加密或混杂技能来躲避安全产品的检测。对加密器和封装器的运用在当今歹意软件范畴正变得越来越盛行，它们不只能为歹意代码供给所谓的“FUD”(彻底无法检测)功用，而且还能躲藏额定的payload。 近来，Cybaze-Yoroi ZLab发现了一类风趣的样本，它是Nanocore长途管理东西（RAT）的变种之一，用到了Delphi封装器。下面是Yoroi实验室对此样本的剖析。 技能剖析 Nanocore RAT是一种“通用的”歹意软件，经过操作它的客户端进行进犯对一般人而言没什么太大难度。此次进犯事情中，进犯者瞄准了意大利的奢侈品职业，进犯由一封伪装成来自银行的垂钓邮件开端。 图1：部分截取的垂钓邮件 附件是一个7z格局的存档文件，包括一个Adobe Acrobat图标的有用PE文件，看来进犯者企图经过一个简略的手段来让用户信任它是一个合法的PDF文件。该PE可履行文件信息如下： 表1：Nanocore dropper/ NanoCore RAT的静态信息 接着咱们在样本上提取了一些静态信息： 图2：有关“trasferimento.exe”dropper / NanoCore RAT的信息 该样本是用“BobSoft Mini Delphi”编译器编译的，有两个重要特征：一是高水平的熵; 二是可履行文件中假造的编译时刻戳。 履行歹意软件时，咱们注意到歹意软件会履行一些查看来躲避检测。 图3：歹意软件查看的进程 上图展现了歹意软件所查看的一些进程，此操作是经过运用经典的Win32 API调用“CreateToolhelp32Snapshot”和“Process32Next”来履行的。 图4：用于查看翻开东西的API调用 假如查看的进程中没有一个处于活动状况，歹意软件就可以继续进行实践的感染:将Nanocore RAT的实践payload写入“%TEMP%”文件夹中。 图5：由加载程序和相关API调用编写的NanoCore payload payload会进一步加载到内存中，风趣的是，该payload在没有经过任何加密或混杂。 图6：嵌入在“trasferimento.exe”样本资源中的有用负载与写入％TEMP％文件夹的“non.exe”之间的比较 如上图所示，“trasferimento.exe”Delphi包装器有许多嵌入式资源（左边），其间一个包括整个Nanocore RAT的payload。右侧咱们列出了一个名为“2035”的资源和实在payload之间的差异剖析，“2035”左上角黄色杰出的是要在机器上植入的payload称号——“non.exe”，后续代码是相同的，也没有任何维护。“trasferimento.exe”组件运转计划使命以保证其持久性。 图7:歹意软件设置的使命调度程序 此刻，歹意软件会创立一个带有伪随机称号的xml文件，该称号包括其在核算机上持久性的装备。创立此文件后，歹意软件会生成“non.exe”进程，然后经过以下命令行从头生成本身。 schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:UsersadminAppDataLocalTemptmpC5A7.tmp”schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:UsersadminAppDataLocalTemptmpCB59.tmp” xml装备文件的主体如下: InteractiveToken HighestAvailable Parallel false false true false false false false true true false false false PT0S 4 ”C:UsersadminDesktoptrasferimento.exe” $(Arg0) 这两项计划使命的差异在于，一个引证“trasferimento.exe”进程，另一个引证“non.exe”进程。 它似乎是一种生计机制，在这种机制中，这两个进程都在起作用，并坚持感染的存活。[1][2]黑客接单网