新型恶意软件“Beep”的警告

关键要点

本周一种新的恶意软件被研究者称为“Beep”，它利用 Beep API 函数产生声音，但该恶意软件的引人注目之处在于其巧妙的规避技术。根据 Minerva的博客文章，研究者发现了几份相似的新样本，这些样本以 dll、gif 或 jpg 文件形式上传至 VirusTotalVT。研究者表示，这些样本都被 VT 标记为“传播者”和“探测调试环境”，引起他们的注意，因为这些恶意软件似乎可以丢弃文件，但这些文件无法从 VT 中取回。

那么，这些文件到底去了哪里呢？

研究者指出，恶意软件作者似乎在努力实现尽可能多的反调试和反虚拟机反沙箱技术。以下是 Minerva 研究中提到的两种技术概述：

安全研究人员如 Coalfire 的副总裁 Andrew Barratt 表示，Beep 是近期他所见过的较为有趣的恶意软件，因为它结合了独特的规避分析技术，同时也留下了一些初学者的明显迹象。

Barratt 说：“像使用计划任务来保持持久性这样的技术在事件响应基础手册中都能找到。”他进一步指出，留下明显的文件名称“bigdll”让这个恶意软件看起来很可能会在未来成为诱饵或是无意中过早释放到网络上。他补充道：“这是一个值得关注的案例。我预计目前大多数终端工具会直接检测到它，然后它可能会进化。”

Vulcan Cyber 的高级技术工程师 Mike Parkin 表示，恶意软件作者多年来一直在提高他们的规避技术，而 Beep 表现出他们愿意去隐藏恶意代码的决心。

Parkin指出，这些技术需要技巧、实践以及对目标使用的所有反恶意软件工具的访问。他预测这种趋势会持续，最复杂的恶意软件将会持续演变，甚至恶意软件作者可能会利用机器学习技术来绕过现有的反恶意软件产品。

“组织面临着更复杂的威胁风险，”Parkin强调。“随着恶意软件变得越来越难以检测，因此需要更多关注防止其入侵。用户必须更好地接受培训和提高警惕，还需要开发更多工具来防止可疑载荷到达目标。我们还需要更好地理解情况，以便在恶意软件造成进一步损害之前识别和隔离受感染的系统。”

AppViewX 的市场营销副总裁 Christian Simko 补充道，由于 Beep 的构建方式使其难以检测，因此可能在代码审核中被遗漏，这最终会将合法软件置于风险之中。他表示，攻击者更有可能通过网络钓鱼和网站伪造来诱