组织名称
|
Wslink—|— 组织编号
|
未知 关联组织
|
未知 战术标签
|
防御规避 技术标签
|
虚拟机执行 情报来源
|
https://www.welivesecurity.com/2022/03/28/under-hood-wslink-multilayered-
virtual-machine/##01攻击技术分析
亮点:基于虚拟机的混淆分析对抗
混淆技术是一种常见的软件保护技术,目的是使得软件难以被逆向分析。本次事件中,攻击者正是滥用这一点,实现基于虚拟机的分析对抗。
虚拟机可以分为两个主要类别:
1.系统虚拟机:支持运行整个操作系统,例如VMWare、Virtual Box等产品;
2.进程虚拟机:为程序提供独立于平台的环境,允许程序在任何平台上以相同的方式执行,例如Java等。
进程虚拟机依靠一种与操作系统无关的字节码(IR)作为中间层,是程序与操作系统间类似汇编语言的存在,它可以使得程序能够在不同指令集架构(ISA)的CPU上执行。利用这样的机制,可以通过构造高级语言与低级语言间的中间层以及对应的转换方法,实现在操作系统上运行不同架构的其他操作系统。在本次事件中,利用的就是进程虚拟机中的相关技术和概念,但其目的却并不是跨平台运行,而是实现基于此的分析对抗。
为了降低利用难度