1. 摘要

本報告提供對 Encrypthub 的技術分析,這是一個被觀察到協助網路犯罪行動的 Malware-as-a-Service (MaaS) 平台。Encrypthub 專注於加密惡意負載 (payload),以規避防毒軟體 (AV) 和端點偵測與回應 (EDR) 等端點安全解決方案的偵測。該服務採用包括 AES 加密與動態金鑰產生,以及用於記憶體內解密與執行的 loader/stub 機制等技術。本分析詳細說明了觀察到的技術功能、規避方法、運作模式,以及對網路安全防禦策略的影響 1

Encrypthub 內幕:解構此 MaaS 加密器利用 AES 與載入器繞過防禦的技術 | 資訊安全新聞

2. 引言

Malware-as-a-Service (MaaS) 平台的普及大幅降低了網路犯罪的入門門檻。Encrypthub 是這類服務中的一個顯著例子,具體被歸類為「crypter」或加密服務。其主要功能是將現有的惡意軟體負載(例如資訊竊取程式或遠端存取木馬)包裝在加密與混淆層中,使其難以被傳統基於特徵碼的檢測方法識別。本報告專注於根據可用分析探討 Encrypthub 採用的技術機制 1

3. 技術分析

3.1 核心功能:負載加密

Encrypthub 的核心服務是對使用者提交的惡意軟體負載進行加密 1 。關鍵技術包括:

  • 加密演算法: 該服務使用進階加密標準 (AES) 演算法。AES 是一種強大且廣泛採用的對稱加密密碼。
  • 金鑰管理: 規避偵測的關鍵在於動態產生加密金鑰。有證據顯示,每個加密版本或每個使用者可能產生獨特金鑰,這大幅提升了輸出的多態性 (polymorphism)。這阻止了基於靜態指標的簽章檢測。
  • Loader/Stub 元件: Encrypthub 的輸出不僅是加密負載,還包括一個 loader(或稱「stub」)。此可執行元件包含在受害者機器上於記憶體中解密並執行原始惡意軟體負載的必要邏輯。

3.2 執行流程與規避技術

Loader 元件對於最終負載的成功執行與規避至關重要 1 。其典型運作流程包括:

  • 初始化: Loader 在目標系統上開始執行。
  • 解密: 它存取嵌入的加密負載,並使用對應的 AES 金鑰(通常嵌入或衍生於 loader 中)直接在記憶體中解密惡意軟體程式碼。
  • 記憶體內執行: 解密後的負載從記憶體中執行,通常避免將未混淆的原始惡意軟體寫入磁碟。此技術繞過了安全產品的靜態檔案掃描。
  • 混淆: Loader 本身採用多種混淆技術來阻礙分析與偵測,這些可能包括:
    • 字串加密:隱藏關鍵字串,如 API 函式名稱或指令。
    • API 雜湊:通過雜湊而非名稱在運行時解析必要的 Windows API 函式。
    • 反分析措施:加入檢查除錯器、虛擬機器 (VMs) 或分析工具的機制。
  • 多態性(Polymorphism): 由於動態金鑰產生與每次構建可能不同的 loader 結構,Encrypthub 的每個輸出檔案看似獨特,大幅挑戰以簽章來檢測的系統。

3.3 支援的惡意軟體負載

Encrypthub 設計上與負載無關,但常見被用來加密主流惡意軟體家族 1 ,包括:

  • 資訊竊取程式(例如 RedLine、Vidar、AgentTesla、Stealc)
  • 遠端存取木馬 (RATs)(例如 Remcos)

4. 運作模式與分發

Encrypthub 在地下網路犯罪生態系統中作為商業服務運作 1

  • Malware-as-a-Service (MaaS): 它遵循典型的 MaaS 模式,通過訂閱計劃或可能的按次付費模式提供加密能力。
  • 散播管道: 該服務通過專用管道行銷與存取,例如特定地下論壇及威脅行為者常使用的加密通訊平台(如 Telegram )。這些平台通常服務於參與網路犯罪的特定語言社群。

5. 大型語言模型 (LLMs) 的潛在角色

Encrypthub 等工具的出現與使用,與威脅行為者社群中關於大型語言模型 (LLMs)(如 ChatGPT)在惡意軟體開發與混淆中潛在應用的討論同時發生 1 。雖然來源資料未確認 Encrypthub 本身使用 LLMs 開發,但 LLMs 的能力理論上可用於:

  • 產生多樣化的 loader 程式碼片段。
  • 創造新穎的混淆技術。
  • 自動產生多態性程式碼結構。

這代表規避工具開發的潛在演進,使偵測更具挑戰性。

6. 偵測與緩解策略

Encrypthub 採用的技術使傳統使用簽章的偵測方式大多無效 1 。有效的防禦策略必須包括:

  • 行為分析: 監控程序行為以發現可疑活動,例如意外的記憶體分配、程序注入,或竊取程式與 RATs 典型的網路通訊模式。
  • 記憶體鑑識: 分析系統記憶體以尋找解密後的負載或 loader 留下的痕跡。
  • 端點偵測與回應 (EDR): 使用能偵測異常程序行為、API 呼叫序列及記憶體內執行模式的 EDR 解決方案。
  • 沙箱技術: 在隔離環境中執行可疑檔案以動態觀察其行為。
  • 威脅情報: 保持更新與 Encrypthub loader(雜湊、基礎設施)及常見分發的惡意軟體家族相關的入侵指標 (IoCs)。

7. 結論

Encrypthub 體現了網路犯罪 MaaS 經濟中可用的高級規避服務。其技術實現利用強大的加密 (AES)、動態金鑰、通過 loader 的記憶體內執行及混淆,對傳統端點安全措施構成重大挑戰 1 。理解這些技術機制對於開發與部署有效的、以行為為焦點的偵測與緩解策略至關重要,以對抗使用此類 crypter 服務的威脅。LLM 能力潛在整合到類似工具的創建中,進一步凸顯了適應性與先進網路安全防禦的需求。

8. 參考資料

  1. Outpost24 Blog. "Unmasking Encrypthub: ChatGPT’s Partner in Crime?". Available: https://outpost24.com/blog/unmasking-encrypthub-chatgpt-partner-crime/