KoboldLoader/LithiumLoader/MagnetLoader IOCs

security IOC

Исследователи Unit 42 обнаружили несколько образцов вредоносных программ, включающих компоненты Cobalt Strike, и обсуждают некоторые способы поимки этих образцов путем анализа артефактов дельт в памяти процессов в ключевые моменты выполнения.

Cobalt Strike - яркий пример типа уклоняющихся вредоносных программ, которые на протяжении многих лет были занозой в боку систем обнаружения. Это одна из самых известных систем моделирования противника для операций "красных команд". Однако он не только популярен среди "красных команд", но и используется многими субъектами угроз в злонамеренных целях.

Хотя инструментарий продается только доверенным лицам для проведения реалистичных тестов безопасности, из-за утечек исходного кода его различные компоненты неизбежно попали в арсенал злоумышленников - от групп, занимающихся распространением вымогательского ПО, до государственных структур.

Обзор Cobalt Strike

Основной причиной распространения Cobalt Strike является то, что он очень хорош в своем деле. Он был разработан с нуля, чтобы помочь "красным командам" бронировать свои полезные нагрузки, чтобы опередить поставщиков безопасности, и он регулярно внедряет новые методы уклонения, чтобы попытаться сохранить это преимущество.

Одним из главных преимуществ Cobalt Strike является то, что после выполнения начального загрузчика он работает в основном в памяти. Такая ситуация создает проблему для обнаружения, когда полезная нагрузка статически бронирована, существует только в памяти и отказывается выполняться. Это является проблемой для многих программных продуктов безопасности, поскольку сканирование памяти - дело нелегкое.

Во многих случаях Cobalt Strike является естественным выбором для получения первоначального следа в целевой сети. Угрожающий субъект может использовать конструктор с многочисленными опциями развертывания и обфускации для создания конечной полезной нагрузки на основе настраиваемого шаблона.

Эта полезная нагрузка обычно встраивается в файл-загрузчик в зашифрованном или закодированном виде. Когда файл-загрузчик запускается жертвой, он расшифровывает/декодирует полезную нагрузку в памяти и запускает ее. Поскольку полезная нагрузка присутствует в памяти в своем первоначальном виде, она может быть легко обнаружена благодаря некоторым специфическим характеристикам.

Как исследователи вредоносного ПО, мы часто видим потенциально интересные образцы вредоносных программ, которые оказываются просто загрузчиками для Cobalt Strike. Также часто неясно, был ли загрузчик создан "красной командой" или реальным злоумышленником, что еще больше затрудняет атрибуцию.

KoboldLoader SMB Beacon

Представляет собой 64-битную DLL, имитирующую легитимную библиотеку.

MagnetLoader

Этот образец MagnetLoader пытается выглядеть как файл Windows mscms.dll несколькими способами, используя следующие похожие особенности:

  • Такое же описание файла
  • Таблица экспорта со многими одинаковыми именами функций
  • Почти идентичные ресурсы
  • Очень похожий мьютекс

LithiumLoader

Является частью цепочки побочной загрузки DLL, в которой использовался пользовательский установщик для одного из типов программ безопасности. Побочная загрузка DLL - это техника, которая перехватывает легитимное приложение для запуска отдельной вредоносной DLL.

Indicators of Compromise

SHA256

  • 062aad51906b7b9f6e8f38feea00ee319de0a542a3902840a7d1ded459b28b8d
  • 6c328aa7e0903702358de31a388026652e82920109e7d34bb25acdc88f07a5e0
  • 6ffedd98d36f7c16cdab51866093960fe387fe6fd47e4e3848e721fd42e11221
  • 7ccf0bbd0350e7dbe91706279d1a7704fe72dcec74257d4dc35852fcc65ba292
  • 8129bd45466c2676b248c08bb0efcd9ccc8b684abf3435e290fcf4739c0a439f
  • 82dcf67dc5d3960f94c203d4f62a37af7066be6a4851ec2b07528d5f0230a355
  • a1239c93d43d657056e60f6694a73d9ae0fb304cb6c1b47ee2b38376ec21c786
  • a221c7f70652f4cc2c76c2f475f40e9384a749acd1f0dbaefd1a0c5eb95598d2
  • cbaf79fb116bf2e529dd35cf1d396aa44cb6fcfa6d8082356f7d384594155596
  • fc4b842b4f6a87df3292e8634eefc935657edf78021b79f9763548c74a4d62b8
SEC-1275-1
Добавить комментарий