再者,他们发现Deuterbear采用新的Shell Code格式、会执行回避记忆体扫描的反制措施、并与恶意程式下载工具(Downloader)共用流量解密金钥,这些都是与Waterbear明显不同的地方。研究人员认为,从Waterbear到Deuterbear的演变,代表BlackTech在反制资安人员分析及回避侦测的工具开发上,出现显著的突破。
而这些骇客究竟在攻击行动里如何运用Deuterbear?研究人员指出,攻击流程大致可分成2个阶段。首先,对方透过恶意程式载入工具(Loader)进行XOR演算法解密,执行下载工具从C2取得Deuterbear恶意酬载,植入后进行侦察工作,然后挑选特定资料夹,以便能持续存取受害电脑。
在下一阶段的攻击行动中,骇客借由前一个阶段植入的恶意酬载,透过DLL侧载的方式,执行另一支具备CryptUnprotectData解密功能的恶意程式载入工具,然后探索相关机码,对受到加密保护的下载工具进行处理,再从C2下载Deuterbear恶意酬载,以及攻击所需的外挂程式。
比较特别的是,虽然骇客在两个阶段使用了相同的恶意程式载入工具、下载工具,以及恶意酬载,但研究人员对于遭到感染的电脑进行调查发现,对方在作案后仅留下第二阶段所使用的Deuterbear,至于第一阶段的作案工具,在他们能对受害电脑持续存取后,就全数予以清除。