OPSWAT MetaDefender 解构多层攻击 

MetaDefender 处于威胁检测的前沿，无缝融合静态与动态分析技术，足以抵御最复杂的攻击。

• 深度结构分析：初步静态文件评估，可为 50 多种受支持的文件类型提供早期检测功能，并提取嵌入式活动内容以作进一步分析。
• 动态内容分析：检查和分析电子邮件、网页和文档中的内容和上下文，以揭露隐藏的恶意活动，包括可疑的 URL。这是防范网络钓鱼攻击的一项特别有用的保护措施。
• 适应性威胁分析：基于仿真的动态分析，可保持对恶意软件执行流程的控制，即使恶意软件是针对特定环境设计的。它支持 Office 文件、便携式可执行文件和大多数常见脚本。

分析的样本是一个使用 Pyinstaller 编译的便携式可执行文件（PE），它从恶意主机秘密下载 Cobalt Strike stager PE。然后，Stager PE 解密嵌入式 CS 信标并将其注入内存，启动与 C2 的通信。 

PyInstaller 将 Python 应用程序及其所有依赖项捆绑到一个软件包中，允许用户在不安装 Python 解释器或任何模块的情况下运行应用程序，这对恶意软件制作者来说很有吸引力。  

对该文件进行静态分析只会产生大量无用噪声，而无法聚焦其恶意行为。MetaDefender 会解压并提取原始Python代码使用的编译字节码（pyc）文件及嵌入式组件，随后反编译pyc文件以获取原始Python代码，从而实现威胁指标检测与高价值IOC提取。 

Pyinstaller需要特定的解包流程，即使是最常见的文件归档工具也无法支持。MetaDefender 现已内置Python解包功能，同时兼容其他主流Python编译器，例如Nuitka和Py2exe。 

这项新功能可以帮助我们绕过第一层包装，继续对解压后的文件进行分析。 

对 python 文件进行反编译后，我们发现该恶意软件会从恶意 URL 下载一个 PE 文件（CS stager）。然后，它运行 CS stager 并将其从磁盘中删除，以消除潜在的 IOC。此外，它还会弹出一条虚假的 Windows 消息，让用户误以为发生了错误。 

MetaDefender Aether提取恶意URL并下载加载程序以进行进一步分析。 

下载的PE文件（cs.exe）是一个分阶段执行器，它会解密第二个PE文件，该文件负责解密CS信标并将其注入内存。CS采用多种技术隐藏信标并增加其检测难度。MetaDefender 能够静态追踪其执行流程，直至定位CS信标并提取其配置信息。 

CS stager 在其 .data 部分隐藏了一个 XOR 加密的 PE 文件。第二个 PE 文件对应的是一个 DLL 文件，可通过众所周知的 DLL 标头（MZARUH）识别，它是 CS beacon 的默认反射加载器存根的起点。这意味着初始 PE 将负责在内存中分配和复制反射式加载器 DLL，解析和解析导入函数地址，并执行 DLL 的入口点。最后，反射加载器将在内存中解密并运行 CS beacon。 

这项针对CS的技术分析凸显了当前网络威胁的复杂性和深度，同时MetaDefender 强大的高级威胁引擎如何以惊人速度高效分析多层攻击。  

Python 解包和反编译功能可以进行更深入的分析，这对揭示恶意程序的真实本质至关重要。我们已经看到解包是如何触发额外操作，从而检测和提取 CS 配置的。 

提取恶意软件配置总能揭示有价值的 IOC，并实现准确的恶意软件识别。我们专门的恶意软件分析师团队不断扩大支持的恶意软件系列范围，确保全面覆盖，并能迅速检测到新出现的威胁。