CoffeeLoader 恶意软件利用 GPU 加壳技术规避检测

高级恶意软件采用多重规避技术

Zscaler威胁实验室ThreatLabz发现，恶意自2024年9月开始活跃的软件CoffeeLoader恶意软件家族采用多种技术规避终端安全检测 ，以下载第二阶段有效载荷。利用该恶意软件运用的壳技高级技术包括：基于GPU的加壳 、调用栈欺骗、术规休眠混淆和Windows纤程技术。避检该恶意软件通过SmokeLoader传播，恶意两者具有相似行为特征
。软件

Zscaler在报告中指出："CoffeeLoader实现了多项对抗终端安全软件的利用功能，包括调用栈欺骗 、壳技休眠混淆和Windows纤程技术。术规该加载器采用我们命名为Armoury的避检加壳程序，服务器租用通过在系统GPU上执行代码来阻碍虚拟环境分析 。恶意"

多阶段攻击流程分析

当主控服务器不可用时 ，软件CoffeeLoader会启用域名生成算法（DGA） 。利用研究人员确认该恶意软件被用于部署Rhadamanthys信息窃取程序。

样本采用独特的恶意软件加壳程序保护，该程序利用系统GPU执行代码，大幅增加虚拟环境分析难度。由于仿冒华硕公司开发的合法Armoury Crate工具，专家将该加壳程序追踪命名为Armoury 。

CoffeeLoader投放器执行安装例程时 ，不同变种实现不同功能 。其中一个版本将加壳DLL（ArmouryAIOSDK.dll）复制到用户临时目录 ，通过rundll32.exe执行 ，采用直接执行（提升权限时）或UAC绕过（未提权时）方式。香港云服务器研究人员指出该变种不具备持久化能力 。

其他版本通过以下方式实现持久化
：将DLL复制至%PROGRAMDATA%（提权时）或%LOCALAPPDATA%（未提权时）
，设置严格文件权限 ，并通过schtasks.exe或Windows ITaskScheduler COM接口创建计划任务（AsusUpdateServiceUA）。早期版本在用户登录时执行，新版则设置为每10分钟运行一次 。安装完成后 ，投放器执行CoffeeLoader的暂存组件后退出 。

高级规避技术详解

恶意软件暂存组件创建挂起的dllhost.exe进程 
，通过NtAllocateVirtualMemory 、NtProtectVirtualMemory和NtWriteVirtualMemory注入主模块。在终止前修改线程上下文执行注入代码。

主模块采用DJB2算法解析API函数，并运用调用栈欺骗 、模板下载休眠混淆和Windows纤程等高级规避技术。报告补充说明 ："主模块还通过哈希值解析API函数地址 ，但使用DJB2算法 。该模块实施了多项规避杀毒软件（AV）和终端检测响应（EDR）的技术 。"

CoffeeLoader支持多种命令
，可注入执行shellcode、可执行文件和DLL
。具体命令包括 ：休眠（0x58）
、在指定进程注入运行shellcode（0x87） 、更新休眠混淆方法和超时（0x89）
、将可执行载荷写入临时目录并运行（0x91）、将DLL载荷写入临时目录并通过rundll32.exe执行（0x93） 。

该恶意软件采用调用栈欺骗技术掩盖函数调用来源 ，规避分析堆栈跟踪的安全工具 。免费模板通过建立合成堆栈帧和动态映射系统调用
，避开用户模式钩子。在休眠混淆方面
，CoffeeLoader在非活动状态加密内存，仅在执行时解密
。还通过修改内存权限和为关键系统函数添加异常，绕过Windows控制流防护（CFG） 。

与SmokeLoader的潜在关联

ThreatLabz发现CoffeeLoader与SmokeLoader存在多项相似性
，暗示两者可能有关联。两个恶意软件家族都使用暂存组件将主模块注入其他进程，基于系统详情生成僵尸ID，并创建与僵尸ID关联的互斥体名称 。它们都采用哈希解析导入项  ，在全局结构中存储内部变量 ，源码下载使用硬编码RC4密钥加密网络流量 。两者都重度依赖底层Windows API ，并通过修改文件属性保持隐蔽
。

在持久化机制方面，CoffeeLoader最新版本每10分钟运行计划任务（无需提权）
。2024年12月据称出现新版SmokeLoader
，与CoffeeLoader共享多项规避技术
。但尚不确定CoffeeLoader是SmokeLoader的演进版本，还是巧合相似。

报告总结指出："CoffeeLoader加入了竞争激烈的恶意软件加载器市场。开发者集成的红队攻防概念（如调用栈欺骗、高防服务器休眠混淆和Windows纤程）使其具备竞争优势。虽然SmokeLoader传播CoffeeLoader且两者存在显著相似性
，但确切关系仍有待厘清 。"报告最后提供了完整的入侵指标（IOCs）
。