新型恶意软件“Beep”的警告

关键要点

• 新型名为“Beep”的恶意软件因其巧妙的规避技术受到关注。
• 该恶意软件通过 Beep API 函数（产生音频“哔声”）进行执行。
• 研究者发现 Beep 使用了多种反调试和反虚拟机技术，以隐藏其恶意行为。
• 安全专家建议用户提高警惕，增强网络安全意识，防止恶意软件入侵。

本周一种新的恶意软件被研究者称为“Beep”，它利用 Beep API 函数产生声音，但该恶意软件的引人注目之处在于其巧妙的规避技术。根据
，研究者发现了几份相似的新样本，这些样本以 .dll、.gif 或
.jpg 文件形式上传至 （VT）。研究者表示，这些样本都被
VT 标记为“传播者”和“探测调试环境”，引起他们的注意，因为这些恶意软件似乎可以丢弃文件，但这些文件无法从 VT 中取回。

那么，这些文件到底去了哪里呢？

研究者指出，恶意软件作者似乎在努力实现尽可能多的反调试和反虚拟机（反沙箱）技术。以下是 Minerva 研究中提到的两种技术概述：

技术 | 描述
—|—
动态字符串去混淆 | 恶意行为者常用此技术以防止重要字符串被轻易恢复。Beep 通过将硬编码的混淆十六进制字节复制到内存中，并通过 xor/sub/add/not 汇编指令进行去混淆。
默认语言检查 | 吉方异国作者常用此技术来避免感染不希望的系统。Beep 使用 GetUserDefaultLangID 函数来获取语言标识符，并检查其是否表示多达八种语言，包括俄语、乌克兰语或白俄罗斯语。

安全研究人员如 Coalfire 的副总裁 Andrew Barratt 表示，Beep是近期他所见过的较为有趣的恶意软件，因为它结合了独特的规避分析技术，同时也留下了一些初学者的明显迹象。

Barratt说：“像使用计划任务来保持持久性这样的技术在事件响应基础手册中都能找到。”他进一步指出，留下明显的文件名称“big.dll”让这个恶意软件看起来很可能会在未来成为诱饵或是无意中过早释放到网络上。他补充道：“这是一个值得关注的案例。我预计目前大多数终端工具会直接检测到它，然后它可能会进化。”

Vulcan Cyber 的高级技术工程师 Mike Parkin 表示，恶意软件作者多年来一直在提高他们的规避技术，而 Beep表现出他们愿意去隐藏恶意代码的决心。

Parkin指出，这些技术需要技巧、实践以及对目标使用的所有反恶意软件工具的访问。他预测这种趋势会持续，最复杂的恶意软件将会持续演变，甚至恶意软件作者可能会利用机器学习技术来绕过现有的反恶意软件产品。

“组织面临着更复杂的威胁风险，”Parkin强调。“随着恶意软件变得越来越难以检测，因此需要更多关注防止其入侵。用户必须更好地接受培训和提高警惕，还需要开发更多工具来防止可疑载荷到达目标。我们还需要更好地理解情况，以便在恶意软件造成进一步损害之前识别和隔离受感染的系统。”

AppViewX 的市场营销副总裁 Christian Simko 补充道，由于 Beep的构建方式使其难以检测，因此可能在代码审核中被遗漏，这最终会将合法软件置于风险之中。他表示，攻击者更有可能通过网络钓鱼和网站伪造来诱