【安全资讯】VOIDMAW：一种新的内存扫描绕过技术

概要：

随着恶意软件检测技术的不断发展，攻击者也在不断演变其规避手段。VOIDMAW是一种创新的内存扫描绕过技术，能够有效隐藏恶意代码，避免被杀毒软件检测到。其支持多线程有效载荷，并与所有命令与控制（C2）信标兼容，成为攻击者手中的强大工具。

主要内容：

VOIDMAW的工作分为两个主要程序：

1. Dismantle：该程序读取有效载荷（如Cobalt Strike信标或转换为Shellcode的可执行文件），并开始记录其行为。它记录每个唯一指令的执行情况及其在内存中的偏移量。此数据用于生成头文件，以便通过VOIDMAW程序执行有效载荷。Dismantle设置PAGE_GUARD保护，触发异常以捕获执行的指令，并通过安装向量异常处理程序（VEH）来处理这些异常。

2. Voidmaw：一旦有效载荷经过Dismantle处理，Voidmaw便可执行该有效载荷。它使用Dismantle生成的头文件动态解密并执行有效载荷，同时保持隐蔽性，难以被内存扫描器检测。Voidmaw通过创建内存区域并将掩码有效载荷写入其中，确保每次只显示一个指令，从而有效规避传统杀毒软件的检测。

VOIDMAW的开源特性使其技术对广泛用户可用，既可用于研究，也可能被恶意利用。这一技术的出现标志着恶意软件执行的新前沿，安全专业人士对此表示担忧，组织需要采取主动措施，如行为分析和异常检测，以应对这些不断演变的威胁。