ArmouryLoader: новый опасный загрузчик, маскирующийся под софт от ASUS

Как работает угроза?

ArmouryLoader получил своё название из-за того, что маскируется под легитимную библиотеку ArmouryA.dll, входящую в состав фирменного ПО ASUS Armoury Crate. Злоумышленники подменяют экспортируемую функцию freeBuffer, что позволяет им запускать вредоносный код в обход стандартных механизмов безопасности.

Особенностью этого загрузчика является многоступенчатая схема работы: он проходит восемь этапов, каждый из которых выполняет свою задачу. Первые этапы отвечают за дешифровку последующих компонентов, затем идёт повышение привилегий, внедрение в систему и, наконец, загрузка финального вредоносного модуля.

Техники уклонения от обнаружения

Разработчики ArmouryLoader применили несколько методов, чтобы затруднить анализ и избежать детектирования:

• Использование OpenCL для дешифровки. Загрузчик задействует графические процессоры (Nvidia, AMD, Intel) или 32-битные CPU для расшифровки части своего кода. Это не только усложняет анализ, но и помогает избегать песочниц, которые часто не эмулируют GPU.
• Подделка стека вызовов. ArmouryLoader активно манипулирует стеком, имитируя вызовы системных функций из легитимных DLL, таких как kernel32.dll и ntdll.dll. Это позволяет скрыть истинного инициатора вызова и обмануть системы мониторинга.
• Техника Halo’s Gate. Для противодействия хукам EDR (Endpoint Detection and Response) загрузчик использует этот метод для поиска системных вызовов напрямую, минуя стандартные API.
• Маскировка под системные процессы. На этапе повышения привилегий ArmouryLoader изменяет информацию о процессе, выдавая себя за explorer.exe, что усложняет его обнаружение.

Укоренение в системе

Для обеспечения долговременного присутствия загрузчик создаёт планировщик заданий с различными триггерами:

• Если у него есть права администратора, задача будет выполняться при входе пользователя в систему с максимальными привилегиями.
• В противном случае - каждые 30 минут (в новых версиях интервал сокращён до 10 минут).
• Дополнительно ArmouryLoader изменяет атрибуты своих файлов (скрытый, системный, только для чтения) и настраивает ACL (списки контроля доступа), запрещая пользователям удалять или изменять их.

Финал атаки

На последнем этапе загрузчик развёртывает основной полезную нагрузку - в данном случае это CoffeeLoader, банковский троян, известный своей функциональностью по краже данных. Анализ показал, что C2-серверы (командные центры) вредоноса связаны с этим семейством.

Вывод

ArmouryLoader демонстрирует, насколько изощрёнными становятся современные загрузчики. Использование легитимного ПО для маскировки, многоэтапная дешифровка, уклонение от песочниц и EDR - всё это делает его серьёзной угрозой. Компаниям необходимо обновлять системы защиты и учитывать подобные векторы атак в своих стратегиях кибербезопасности.

SHA256

• d58fc41846494eb083b3041c8cf0121597676ec6b41537675c7fd528bfbdcdd9