新版Gremlin竊資程式以XOR編碼隱藏惡意內容,提高靜態分析難度
攻擊者強化惡意程式隱匿手法
Palo Alto Networks旗下威脅情報團隊Unit 42揭露,新版Gremlin竊資惡意程式已強化隱匿手法,攻擊者將惡意酬載藏入.NET資源區段,並使用XOR編碼遮蔽內容,使資安工具在不執行程式的情況下,更難從檔案內容直接看出可疑字串、API呼叫與命令控制伺服器設定。
技術細節與分析困難
由於惡意內容被編碼並藏於資源區段,傳統靜態分析工具無法直接檢測到惡意行為,導致攻擊者能更有效地逃避檢測與防禦機制。XOR編碼透過數位運算遮蔽原始指令,使惡意行為的痕跡極度隱蔽,增加資安團隊進行自動化分析與偵測的難度。
對資安防禦的挑戰
此舉凸顯當前資安防禦對惡意程式變異與隱匿技術的應對不足,未來需發展更先進的動態分析與行為偵測機制,以有效識別與阻斷這些高度隱蔽的惡意程式。