TrickGate 最初于 2016 年 7 月被发现，这种基于外壳代码（shellcode）的打包器（packer）作为一项服务来提供，用于隐藏恶意软件以免被端点检测和响应（EDR）以及杀毒软件发现在过去六年间，TrickGate 被用来部署最臭名昭著的恶意软件，比如 Cerber、Trickbot、Maze、Emotet、REvil、Cobalt Strike、AZORult、Formbook 和 AgentTesla 等。

由于定期会改头换面，TrickGate 多年来一直没有被人注意这个特征导致研究界通过众多属性和名称来识别其身份虽然该打包器的包装程序会不断变化，但 TrickGate 外壳代码中的主要构建模块至今仍在使用中。

Check Point 的威胁模拟（Threat Emulation）解决方案成功检测并阻止了 TrickGate 打包器介绍网络犯罪分子日益依赖打包器来执行恶意活动该打包器在黑客论坛上又叫 Crypter（加密器）和 FUD，使杀毒软件更难检测到恶意代码。

通过使用打包器，恶意分子可以更轻松地传播恶意软件，而影响更小商业打包器即服务的主要特征之一是，它不关心攻击载荷是什么，这意味着它可以用来打包许多不同的恶意样本该打包器的另一个重要特征是它能改头换面——该打包器的包装程序会定期改变，因此不被安全产品发现。

TrickGate 是一种典型的功能强大且有弹性的打包器即服务，多年来没有被网络安全产品所发现，并以不同的方式不断改进自己我们设法追查到了 TrickGate 的下落，尽管它会迅速改变外层的包装程序TrickGate 堪称伪装高手，因不同的属性而被赋予了许多名称。

名称包括 TrickGate、Emotet 的打包器、新的加载器、Loncom 和基于 NSIS 的加密器等我们联系了之前的研究成果，基本上确定这起活动似乎是作为一项服务来提供的TrickGate 历年来的活动

我们首次观察到 TrickGate 是在 2016 年底当时，它被用来传播 Cerber 勒索软件从那时起，我们一直在观察 TrickGate，发现它被用来传播所有类型的恶意软件工具，比如勒索软件、RAT、信息窃取器、银行木马和挖币软件。

我们注意到，许多高级持续性威胁（APT）组织和威胁分子经常使用 TrickGate 来包装恶意代码，以免被安全产品检测出来TrickGate 参与了包装一些最臭名昭著的恶意软件家族的活动，比如 Cerber、Trickbot、Maze、Emotet、REvil、CoinMiner、Cobalt   Strike、DarkVNC、BuerLoader、HawkEye、NetWire、AZORult、Formbook、Remcos、Lokibot 和 AgentTesla 等。

图 1. TrickGate 历年来的活动TrickGate 的分布在过去两年里，我们每周监测到 40 次到 650 次攻击据我们的遥测数据显示，使用 TrickGate 的威胁分子主要攻击制造业，但也攻击教育设施、医疗保健、金融和商业企业。

这些攻击遍布全球各地，越来越集中在中国台湾和土耳其近两个月使用 TrickGate 的最盛行的恶意软件家族是 Formbook，占跟踪分布总量的 42%图 2. 2022 年 10 月至 11 月期间的 TrickGate 统计数据

攻击流程下面概述了涉及 TrickGate 的攻击中常见的攻击流程初始访问打包器用户进行的初始访问可能会有很大差异我们监测的打包样本主要通过带有恶意附件的网络钓鱼电子邮件来传播，但也通过恶意链接来传播初始文件

第一阶段主要以压缩可执行文件的形式出现，但我们监测后发现了导致相同外壳代码的许多文件类型和传播手段我们在第一阶段观察到以下文件类型：压缩文件：7Z、ACE、ARJ、BZ、BZ2、CAB、GZ、IMG、ISO、IZH、LHA、LZ、LZH、R00、RAR、TAR、TGZ、UU、 UUE、XZ、Z、ZIP、ZIPX、ZST。

可执行文件：BAT、CMD、COM、EXE、LNK、PIF、SCR文档：DOC、DOCX、PDF、XLL、XLS、XLSX、RTF外壳代码加载器第二阶段是外壳代码加载器，它负责解密和运行外壳代码我们注意到三种不同类型的代码语言用于外壳代码加载器。

NSIS 脚本、AutoIT 脚本和 C 都实现了类似的功能外壳代码外壳代码是打包器的核心它负责解密攻击载荷，并将载荷悄悄注入到新进程中攻击载荷攻击载荷是实际的恶意代码，负责执行预期的恶意活动攻击载荷因使用打包器的威胁分子而异。

图 3. 攻击流程我们在过去一年观察到的不同攻击流程的示例：2022 年 2 月 24 日图 4. LNK 攻击流程RAR：3f5758da2f4469810958714faed747b2309142ae

LNK：bba7c7e6b4cb113b8f8652d67ce3592901b18a74URL：jardinaix [ . ] fr/w.exeEXE：63205c7b5c84296478f1ad7d335aa06b8b7da536

2022 年 3 月 10 日图 5. PDF 攻击流程PDF：08a9cf364796b483327fb76335f166fe4bf7c581XLSX：36b7140f0b5673d03c059a35c10e96e0ef3d429a

URL：192.227.196 [ . ] 211/t.wirr/XLD.exeEXE：386e4686dd27b82e4cabca7a099fef08b000de812022 年 10 月 3 日图 6. SFX 攻击流程

7Z：fac7a9d4c7d74eea7ed87d2ac5fedad08cf1d50aEXE：3437ea9b7592a4a05077028d54ef8ad194b45d2f2022 年 11 月 15 日

图 7. AutoIT 攻击流程R11：755ee43ae80421c80abfab5481d44615784e76daEXE：666c5b23521c1491adeeee26716a1794b09080ec

外壳代码加载器通常含有一个函数，负责解密外壳代码并将其加载到内存中以下是基本步骤：1. 读取经过加密的外壳代码经过加密的外壳代码可以存储在光盘上的文件中、".rdata" 部分或存储成资源2. 为外壳代码分配内存，常通过调用 VirtualAlloc 来分配。

3. 解密外壳代码4. 触发外壳代码正如我们在下面解释的那样，这可以通过使用直接调用或回调函数来完成图 8. 外壳代码加载器——去混淆处理的 AutoIT 版本图 9. 外壳代码加载器 C 版本在较新版本的 TrickGate 中，外壳代码加载器滥用 " 回调函数 " 机制。

加载器利用许多原生 API 调用，这些调用将内存地址作为回调函数的参数加载器传递的不是回调函数，而是新分配的内存（内有外壳代码）的地址当 Windows 到达注册事件点时，DriverCallback 执行外壳代码。

这种技术通过让 Windows 操作系统在未知时间运行外壳代码来中断我们所监测的行为流在上面的外壳代码加载器中，您可以在上面底部一行标有 "EnumTimeFormatsA" 和 "EnumSystemCodePagesW" 的配图中看到这两个示例。

外壳代码相似性和 TrickGate 暂停当我们发现不相关的恶意软件家族在代码上存在相似性时，威胁分子通常更有可能从共享资源复制或共享某些片段的代码我们在很长一段时间内注意到一种独特的注入技术，它结合使用直接内核系统调用的方法，但我们没有意识到其重要性，以为它可能是共享代码的片段。

    我们在攻击活动中看到了偶尔的 " 暂停 "，这使我们怀疑这种独特的注入技术可能完全由一个威胁团伙控制，毕竟几个不同的团伙同时偃旗息鼓的可能性很小最近一次暂停长达 3 个多月（从 2022 年 6 月 13 日到 2022 年 9 月 26 日），这让我们有机会证实自己的猜疑，并深入研究外壳代码。

图 10. 过去两年的 TrickGate为了验证猜疑，我们开始分析不同时间段的样本我们通过将新样本与旧样本进行比较来开始分析针对这一测试，我们使用 2022-12_Remcos:a1f73365b88872de170e69ed2150c6df7adcdc9c 与 2017-10_CoinMiner：1a455baf4ce680d74af964ea6f5253bbeeacb3de 作了比较。

我们分析行为后知道了外壳代码存在相似性，于是运行样本，直到外壳代码在内存中被解密，然后我们将外壳代码转储到磁盘上接下来，我们使用归谷歌所有的 Zynamics BinDiff 工具，以检查两个外壳代码的相似性。

结果显示，测试的外壳代码存在 50% 的相似性没料到在很长一段时间内（超过五年）对于相当大的外壳代码（~5kb）而言存在 50% 的相似性这自然让人怀疑这可能是由人维护的外壳代码，但我们需要进一步的证据表明在较短的时间内存在相似性，看看它是否逐渐变化。

图 11. 从 2022-12_Remcos：a1f73365b88872de170e69ed2150c6df7adcdc9c 和   2017-10_CoinMiner：1a455baf4ce680d74af964ea6f5253bbeeacb3de 提取的外壳代码的 BinDiff 结果比较

为了进一步分析，我们抽取了过去六年的随机样本针对每个样本，我们转储了外壳代码，并检查一段时间内结果的相似性正如你在下图中所看到，结果表明逐渐出现的变化很小在左侧，我们看到从 2016 年到 2020 年的样本显示存在大约 90% 的相似性。

在右侧，我们看到分叉版本本身存在很高的相似性，但左侧原始版本的相似性较低图 12. 提取的外壳代码的 Bindiff 结果然后我们深入研究外壳代码之间的差异，看看以下方面带来的影响：不同的编译器混淆规避模块

持久性模块（在下次登录时运行载荷）函数顺序局部变量和结构我们随后得到了打包器的核心功能编写者不断维护外壳代码，但使用下一节中描述的 " 构建模块 "图 13. 控制流程图—关于主注入函数比较 2016-07_   Cerber：24aa45280c7821e0c9e404f6ce846f1ce00b9823 与 2022-12_Remcos：a1f73365b88872de170e69ed2150c6df7adcdc9c 的差异。

图 14. 比较 NtWriteVirtualMemory 2022-12_Remcos:   a1f73365b88872de170e69ed2150c6df7adcdc9c 与 2016-07_Cerber:   24aa45280c7821e0c9e404f6ce846f1ce00b9823 的 NtWriteVirtualMemory 内核直接调用差异

TrickGate 外壳代码的构建模块如上所述，外壳代码一直在不断更新，但自 2016 年以来主要功能出现在了所有样本上外壳代码的构建模块概述如下：API 哈希解析加载到内存中，并解密攻击载荷使用内核直接调用进行注入。

手动映射 ntdll 的新副本动态检索内核系统调用编号调用所需的系统调用注入并运行攻击载荷API 哈希解析我们分析 TrickGate 代码时，并没有发现常量字符串很多时候，TrickGate 有意添加干净的代码和调试字符串以规避任何分析。

为了隐藏所需的字符串及其意图，TrickGate 使用了一种名为 API 哈希的常用技术，即所有需要的 Windows API 都使用哈希数来隐藏在 2021 年 1 月之前，TrickGate 一直使用 CRC32 对外壳代码字符串进行哈希处理。

在新版本中，TrickGate 开始使用自定义哈希函数过去两年使用的等效 Python 哈希函数：def   hash_str_ror1 ( str ) :     h   =   8998     for   c   in   str:

        h   +=   ord ( c )   +   ( ( ( h  >>  1 )   &   0xffffffff )   |   ( ( h  查看原文