官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2025年6月,一款名为"Olymp Loader"的新型恶意软件即服务(MaaS)威胁出现在XSS和HackForums等地下黑客论坛上,其反分析和检测规避功能被大肆宣传。
恶意软件特性与传播方式
该恶意软件由名为"OLYMPO"的操作者推广,标榜为完全用汇编语言编写的高级工具。这种营销策略通过宣称具有高性能和抗逆向工程能力来吸引网络犯罪分子。该工具作为多功能套件,兼具加载器(loader)、加密器(crypter)和信息窃取器(stealer)功能,显著降低了攻击者部署规避技术和复杂感染流程的门槛。
Olymp Loader凭借其"完全无法检测"(Fully UnDetectable,FUD)状态迅速获得恶名,在VirusTotal上检测率极低。它通过社会工程学攻击传播,常伪装成PuTTY、Zoom或Node.js等托管在GitHub上的合法软件下载包。这些欺骗性载体诱使用户运行恶意代码,在受害者机器上启动感染链。使用GitHub等信誉良好的平台托管恶意资产进一步增加了检测难度,因为这些站点的网络流量对安全设备而言通常显得合法。
Picus Security安全分析师发现,Olymp Loader经常投递LummaC2和Raccoon Stealer等危险载荷。他们注意到该恶意软件在8月初从僵尸网络架构战略性地转向精简的投放器(dropper)模式,这种快速演变展示了开发者适应技术挑战和网络犯罪市场需求的能力。
反分析与检测规避技术
2025年8月3日重大重构后,Olymp Loader引入了高级反分析机制以确保成功感染。该恶意软件现在将加密载荷直接嵌入存根(stub),仅在解除本地防御后执行。规避策略的核心组件是强制禁用Windows Defender。加载器执行特定的PowerShell命令来屏蔽实时监控并排除扫描路径,例如使用以下命令:
powershell -NoProfile -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
随后,恶意软件将可执行文件投放到Temp目录,并利用"Defender Remover"工具。该过程涉及使用PowerRun.exe通过RemoveDefender.reg等文件应用注册表修改,并删除SecurityHealthSystray.exe等关键系统文件。它还针对WinSxS文件夹删除与Defender相关的文件映射。这种激进的防御消除措施确保载荷运行时不受主机上安装的终端保护解决方案阻碍。
数日后策略继续演变:分析师观察到8月10日的样本用广泛的目录排除列表取代了显式禁用命令,覆盖%APPDATA%和%DESKTOP%等位置。这种持续进化凸显了Olymp Loader有效且隐蔽地绕过标准安全控制的能力。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)