基于机器学习的LummaStealer技术细节分析
背景概述
2025年初,LummaStealer被网络犯罪分子广泛使用,针对全球多个行业垂直领域的受害者,包括电信、医疗保健、银行和营销。5月的一次大规模执法行动突然中止了这一切。经过一段平静期后,我们现在看到了LummaStealer的新变种出现。
鉴于这种重新出现,本文揭示了Netskope检测新型LummaStealer变种的工具之一。
技术分析历程
2025年1月,Netskope Threat Labs观察到一个LummaStealer活动,并记录了其传播机制和TTPs(战术、技术和程序)。该分析详细介绍了虚假验证码、恶意压缩包和多阶段解包技术。自首次披露以来,威胁行为者改进了混淆层,使检测更具挑战性。
本文重点分析一个新的LummaStealer样本(哈希值:87118baadfa7075d7b9d2aff75d8e730)以及Netskope AI Labs使用的机器学习驱动检测策略。
基于机器学习的检测方法
Netskope的高级威胁防护平台结合了静态签名与由AI和机器学习驱动的动态、基于沙箱的分析。我们的多层架构在在线快速扫描和深度扫描中都应用了机器学习模型。
可疑文件在隔离的Windows云沙箱中引爆,记录详细的运行时行为:
- 带有API调用和DLL交互的进程树
- 注册表修改
- 文件操作
- 网络活动
基于Transformer的模型将分层进程树作为节点嵌入序列输入,并通过树位置编码进行增强。同时,运行时行为事件(注册表写入、文件创建、出站连接)被向量化。模型的树变换器层捕获复杂的节点间模式,而行为向量则突出异常操作。
通过融合这些嵌入,该系统擅长标记以前未见过的恶意软件,防止对已知样本的过拟合。
LummaStealer样本分析
当执行时,LummaStealer样本在其进程树足迹和行为向量中都触发了高异常分数。这证实了我们基于专利树变换器检测的实力,尽管有新的混淆层,仍将该文件标记为恶意。
分析的样本是一个Nullsoft可脚本化安装系统(NSIS)安装程序。NSIS格式允许威胁行为者在合法安装程序的幌子下捆绑和启动自定义脚本。使用Detect It Easy(DIE)检查确认了NSIS格式,揭示了嵌入的AutoIt脚本。
使用7-Zip提取后,出现了两个项目:
[NSIS].nsi:一个混淆的NSIS脚本,调用名为Parish.m4a的混淆批处理文件Parish.m4a:一个伪装的批处理文件,包含进一步的有效负载数据块
NSIS脚本调用批处理文件,后者又提取重命名的autoit3.exe和相关的u.a3x脚本。u.a3x文件包含一个使用while循环和switch-case混淆的恶意AutoIt脚本。关键特征包括:
- 环境检查:根据已知沙箱标签(tz, NfZtFbPfH, ELICZ)验证COMPUTERNAME,并根据测试账户验证USERNAME
- 反调试:基于时间的篡改检测,以检测减慢或受监控的执行
- 反分析:尝试ping一个虚拟域;如果成功(表明是分析环境),则自终止或隐藏其托盘图标
- DLL脱钩:恢复关键ntdll.dll函数(如NtCreateProcess)的原始字节,以绕过安全钩子
持久性和有效负载解包
通过CreateProcessW启动cmd.exe实现持久性,在Windows启动文件夹中创建一个.url快捷方式,在登录时运行JScript包装器。该包装器实例化Wscript.Shell以重新执行AutoIt有效负载。
由于其规避和反分析技术,该样本在首次提交到VirusTotal时表现出非常低的检测率(9/73)。
下一阶段的有效负载在内存中进行LZ压缩。自定义解密例程使用两个函数:一个用于密钥映射,另一个用于解压缩。最后,Windows API RtlDecompressFragmentWindows与LZ格式(0x2)在内存中解包了一个PE可执行文件。由于C2服务器不活跃,无法对此阶段进行更深入的分析。
检测结果
Netskope的高级威胁防护使用以下检测代码标记了该样本:
- Win32.Exploit.Generic:广泛的签名覆盖
- Gen.Detect.By.NSCloudSandbox.tr:表明基于沙箱的检测
云沙箱截图确认样本87118baadfa7075d7b9d2aff75d8e730被成功检测,展示了ML模型对抗复杂新型威胁的功效。
结论
LummaStealer操作者继续发展,利用合法工具和分层混淆来逃避防御。这种复苏强调了集成静态分析、动态沙箱和机器学习驱动检测的高级威胁防护解决方案的迫切需要。
组织还应优先考虑用户意识培训,因为许多感染链始于最终用户交互。Netskope将继续监控LummaStealer活动,在其TTPs发展时提供及时更新。