【安全资讯】揭示PackXOR：FIN7打包工具曝光

概要：

HarfangLab发布了一份关于新发现的私人打包工具“PackXOR”的深入分析报告，该工具被包括臭名昭著的FIN7组织在内的威胁行为者使用。PackXOR因其能够规避检测并掩盖各种恶意活动而引起了广泛关注。

主要内容：

HarfangLab的报告指出，PackXOR最初作为AvNeutralizer（也称为AuKill）负载的一部分被观察到。AvNeutralizer用于通过利用易受攻击的驱动程序来禁用端点检测和响应（EDR）系统，从而杀死安全进程。FIN7自2022年以来一直通过地下论坛如xss[.]is、exploit[.]in和RAMP分发AvNeutralizer。然而，HarfangLab的调查显示，PackXOR不仅限于FIN7使用，其他威胁行为者也使用PackXOR来部署不同的负载，如XMRig加密矿工和R77 rootkit，通常与开源的SilentCryptoMiner混淆器结合使用。

PackXOR设计用于压缩、加密和混淆恶意代码，增加了恶意软件分析师和安全工具的检测难度。它采用两阶段的XOR加密过程和LZNT1压缩，有效地隐藏了负载。具体工作原理如下：首先，应用XOR密钥1对压缩负载进行加密，然后进行LZNT1解压缩，最后使用XOR密钥2进一步加密解压后的数据。通过多层加密和压缩，PackXOR增加了安全专业人员及时检测和分析负载的难度。

PackXOR的一个突出特点是其能够在二进制文件中隐藏字符串，使安全工具更难标记可疑活动。通过使用XOR加密和减法操作，PackXOR仅在需要时动态解密关键字符串，如API调用和DLL名称。这种方法显著降低了静态检测的可能性。HarfangLab还发现，PackXOR有时会将其负载包裹在额外的混淆层中，创建了一个多层防御机制，进一步增加了逆向工程的难度。

为应对PackXOR带来的日益严重的威胁，HarfangLab发布了一款解包工具，帮助安全研究人员和分析师解剖和分析打包的恶意软件样本。这款工具可在HarfangLab的Github仓库中找到，为打击FIN7及其他利用PackXOR的网络犯罪组织提供了重要武器。