Исследователи обнаружили вредоносную кампанию, использующую невиданную ранее технику тихой установки безфайловых вредоносных программ на целевые машины.
Fileless Malware
Эта техника предполагает внедрение шеллкода непосредственно в журналы событий Windows. Это позволяет злоумышленникам использовать журналы событий Windows в качестве прикрытия для вредоносных троянских программ на поздних стадиях, говорится в отчете об исследовании Kaspersky, опубликованном в среду.
Исследователи обнаружили эту кампанию в феврале и считают, что неизвестные противники были активны в течение последнего месяца.
"Мы считаем технику журналов событий, которую мы не видели раньше, самой инновационной частью этой кампании", - написал Денис Легезо, старший исследователь безопасности из группы глобальных исследований и анализа Kaspersky.
Злоумышленники, стоящие за этой кампанией, используют ряд инструментов для инъекций и технику защиты от обнаружения, чтобы доставить полезную нагрузку вредоносного ПО. "По крайней мере, два коммерческих продукта в использовании, а также несколько типов RAT последней стадии и обёрток для защиты от обнаружения - всё это говорит о том, что злоумышленники, стоящие за этой кампанией, обладают достаточными возможностями", - пишет Легезо.
На первом этапе атаки злоумышленник ведет цель на легитимный веб-сайт и предлагает ей загрузить сжатый .RAR-файл с инструментами тестирования на проникновение в сеть под названием Cobalt Strike и SilentBreak. Оба инструмента популярны среди хакеров, которые используют их в качестве средства доставки шеллкода на целевые машины.
В Cobalt Strike и SilentBreak используются отдельные дешифраторы AES с защитой от обнаружения, скомпилированные с помощью Visual Studio.
Цифровой сертификат для модуля Cobalt Strike различен. По словам Касперского, "было подписано 15 различных стейджей от оберток до последнего стейджа".
Далее злоумышленники могут использовать Cobalt Strike и SilentBreak для "внедрения кода в любой процесс" и могут внедрить дополнительные модули в системные процессы Windows или доверенные приложения, такие как DLP.
"Этот уровень цепочки заражения расшифровывает, отображает в память и запускает код", - говорят они.
Способность внедрять вредоносное ПО в память системы классифицирует его как безфайловое. Как следует из названия, безфайловые вредоносные программы заражают целевые компьютеры, не оставляя никаких артефактов на локальном жестком диске, что позволяет им легко обходить традиционные средства защиты и криминалистики на основе сигнатур. Техника, при которой злоумышленники скрывают свои действия в памяти компьютера с произвольным доступом и используют встроенные инструменты Windows, такие как PowerShell и Windows Management Instrumentation (WMI), не нова.
Однако новым является то, как зашифрованный шелл-код, содержащий вредоносную полезную нагрузку, внедряется в журналы событий Windows. Чтобы избежать обнаружения, код "делится на блоки размером 8 КБ и сохраняется в двоичной части журналов событий".
Легезо сказал: "Дроппер не только помещает программу запуска на диск для боковой загрузки, но и записывает информационные сообщения с шеллкодом в существующий журнал событий Windows KMS."
"Сброшенный wer.dll является загрузчиком и не причинил бы никакого вреда без шеллкода, спрятанного в журналах событий Windows", - продолжает он. "Дроппер ищет в журнале событий записи с категорией 0x4142 ("AB" в ASCII) и указанием службы управления ключами в качестве источника. Если ни одна из них не найдена, куски шеллкода размером 8 КБ записываются в сообщения журнала регистрации информации с помощью функции ReportEvent() Windows API (параметр lpRawData)".
Далее в директорию Windows Tasks забрасывается программа запуска. "В точке входа отдельный поток объединяет все вышеупомянутые фрагменты размером 8 КБ в полный шеллкод и запускает его", - пишет исследователь.
"Такое внимание к журналам событий в кампании не ограничивается хранением шеллкодов", - добавили исследователи. "Модули-дропперы также вносят изменения в собственные функции Windows API, связанные с отслеживанием событий (ETW) и интерфейсом сканирования антивирусных программ (AMSI), чтобы сделать процесс заражения более скрытным".
Неопознанный противник доставляет болевую нагрузку
Используя этот скрытный подход, злоумышленники могут доставить любой из двух троянов удаленного доступа (RAT), каждый из которых представляет собой комбинацию сложного пользовательского кода и элементов общедоступного программного обеспечения.
В целом, благодаря своей "способности внедрять код в любой процесс с помощью троянов, злоумышленники могут широко использовать эту возможность для внедрения следующих модулей в системные процессы Windows или доверенные приложения".
Атрибуция в киберпространстве - дело непростое. Лучшее, что могут сделать аналитики, это глубоко изучить тактику, методы и процедуры злоумышленников (ТТП), а также код, который они пишут. Если эти ТТП или код совпадают с прошлыми кампаниями известных субъектов, это может стать основанием для уличения подозреваемого.
В данном случае исследователи столкнулись с трудностями атрибуции.
Это связано с тем, что помимо беспрецедентной техники внедрения шеллкода в журналы событий Windows, в этой кампании есть еще один уникальный компонент: сам код. В то время как дропперы являются коммерчески доступными продуктами, обёртки для защиты от обнаружения и RAT, с которыми они поставляются в паре, сделаны на заказ (хотя, по словам исследователей, "некоторые модули, которые мы считаем пользовательскими, такие как обёртки и последние стейджеры, возможно, являются частями коммерческих продуктов").
Согласно отчету, "код совершенно уникален и не имеет сходства с известными вредоносными программами". По этой причине исследователям еще предстоит установить личность злоумышленников.
"Если появятся новые модули, которые позволят нам связать активность с каким-то актором, мы соответствующим образом обновим название".
Indicators of Compromise
IPv4
- 178.79.176.136
- 93.95.228.97
- 162.0.224.144
- 185.145.253.62
- 194.195.241.46
- 178.79.176.1
Domains
- eleed.online
- eleed.cloud
- timestechnologies.org
- avstats.net
- mannlib.com
- nagios.dreamvps.com
- opswat.info
URLs
- https://opswat.info:443
MD5
- 822680649cdeabc781903870b34fb7a7
- 345a8745e1e3ae576fbcc69d3c8a310b
- ef825fecd4e67d5ec5b9666a21fbba2a
- fa5943c673398d834fb328ce9b62aaad
- 2080a099bdc7aa86db55badffbc71566
- 0d415973f958ac30cb25bd845319d960
- 209a4d190dc1f6ec0968578905920641
- e81187e1f2e6a2d4d3ad291120a42ce7
- ace22457c868df82028db95e5a3b7984
- 1cedf339a13b1f7987d485cd80d141b6
- 24866291d5deee783624ab51516a078f
- 13b5e1654869985f2207d846e4c0dbfd
- 59a46db173ea074ec345d4d8734cb89a
- 0b40033fb7c799536c921b1a1a02129f
- 603413fc026e4713e7d3eedab0df5d8d
- 42a4913773bbda4bc9d01d48b4a7642f
- 9619e13b034f64835f0476d68220a86b
- 0c0acc057644b21f6e76dd676d4f2389
- 16eb7b5060e543237eca689bdc772148
- 54271c17684ca60c6ce37ee47b5493fb
- 77e06b01787b24343f62cf5d5a8f9995
- 86737f0ae8cf01b395997cd5512b8fc8
- 964cb389ebf39f240e8c474e200caac3
- 59a46db173ea074ec345d4d8734cb89a
- a5c236982b0f1d26fb741df9e9925018
- d408ff4fde7870e30804a1d1147efe7c
- dff3c0d4f6e2c26936b9bd82db5a1735
- e13d963784c544b94d3db5616e50b8ae
- e9766c71159fc2051bbfc48a4639243f
- f3da1e157e3e344788886b3ca29e02bd
File Paths
C:\Users\admin\source\repos\drx\x64\Release\sb.pdb
C:\Users\admin\source\repos\drx\x64\Release\zOS.pdb
C:\Users\admin\source\repos\drx\x64\Release\ThrowbackDLL.pdb
C:\Users\admin\source\repos\drx\x64\Release\drxDLL.pdb
C:\Users\admin\source\repos\drx\x64\Release\monolithDLL.pdb
C:\Windows\Tasks\wer.dll
C:\Windows\Tasks\WerFault.exe copy of the legit one to sideload the malicious .dll
Named pipe MonolithPipe
Windows Events
Журналы событий с категорией 0x4142 в источнике Key Management Service. Идентификатор события автоматически увеличивается, начиная с 1423.