电信业者AT&T旗下的资安威胁实验室指出LevelBlue指出,他们约从今年4月下旬,发现研究人员公布骇客引用微信(WeChat)的程式码片段,并指出这些被塞入恶意程式用来影响资安研究人员调查的程式码,实际上并不会执行。
他们也提及对这个恶意程式载入工具引起特别关注的原因,那就是对方运用许多回避侦测的手法并进行混淆处理,而使得相关攻击行动极少被识别出来。
研究人员指出,攻击者在部分函数功能使用了无意义及灰色地带指令,例如:pause、mfence、lfence,很有可能是用来破坏防毒软体模拟触发的工作。
其中,也有部分功能函数含有call或jmp指令,指向另一个功能函数,使得研究人员的反编译工具产生解析错误的情况。
而在透过演算法混淆程式码的手法上,对方也加入了无意义的诱饵指令码来欺骗研究人员,并透过堆叠的方式,使用多个位元组的XOR金钥来加密特定字串。
此外,这些骇客也针对Shell Code相关的功能函数,进行控制流程图形(Control Flow Graph,CFG)的混淆处理,导致CFG被扁平化为带有大量switch字串的无限回圈。
为了避免研究人员使用除错工具进行调查,这些骇客也透过处理程序、档案名称过滤,并使用自行开发的API进行系统呼叫。