ArmouryLoader: опасный загрузчик, обходящий защиту систем и доставляющий вредоносные программы

Как работает ArmouryLoader?

ArmouryLoader получил свое название из-за эксплуатации легитимного ПО ASUS Armoury Crate, предназначенного для управления компонентами компьютера. Злоумышленники модифицируют экспортируемые функции (например, freeBuffer в файле ArmouryA.dll), чтобы вызвать цепочку многоэтапного выполнения вредоносного кода.

Одной из ключевых особенностей загрузчика является использование OpenCL для расшифровки полезной нагрузки. Это позволяет обходить анализ в песочницах и виртуальных машинах, поскольку для работы требуется либо GPU, либо 32-битный процессор.

Сложные методы скрытия и атаки

Многоэтапная загрузка

Восемь этапов исполнения кода включают:

• Подмену экспортируемых функций для запуска shellcode.
• Использование OpenCL для дешифровки кода через GPU (NVIDIA, AMD, Intel).
• Привилегированное выполнение через CMSTPLUA COM-компонент (в новых версиях - CMLuaUtil).
• Персистентность через планировщик задач (каждые 30 или 10 минут, в зависимости от прав).

Обфускация и противодействие анализу

• Бесполезные инструкции (этапы 1 и 3).
• Многослойное самодешифрование (XOR-операции на этапах 2, 4, 6).
• Использование легитимных DLL для чтения памяти и фальсификации стека вызовов.

Обход EDR (Endpoint Detection and Response)

• Halo’s Gate - метод получения номеров системных вызовов для обхода хуков.
• Heaven’s Gate - переход из 32-битного окружения в 64-битное (внедрение в dllhost.exe).
• Фальсификация стека - подмена вызовов, чтобы EDR не мог определить источник системных функций.

Детали распространения и последствия

ArmouryLoader распространяется через модифицированные DLL-файлы, маскируясь под легитимные компоненты ASUS. Например, анализируемый образец ArmouryA.dll (MD5: 5A31B05D53C39D4A19C4B2B66139972F) содержал недействительную цифровую подпись и динамически разрешал API через PEB (Process Environment Block).

По данным Antiy CERT, злоумышленники используют технику ATT&CK T1053 (Scheduled Task) для персистентности, T1546 (COM-компоненты) для эскалации привилегий и T1027 (Obfuscated Files) для сокрытия кода.

Вывод: растущая угроза

ArmouryLoader демонстрирует, как современные вредоносные загрузчики комбинируют сложные техники для обхода защиты. Использование OpenCL, подмена вызовов и многоэтапность делают его особенно опасным для корпоративных сетей и обычных пользователей. Без своевременного обнаружения подобные инструменты могут привести к масштабным утечкам данных и взлому систем.

Эксперты рекомендуют уделять особое внимание мониторингу подозрительных задач, анализу необычного поведения процессов и проверке легитимности подписей DLL-файлов, чтобы минимизировать риски заражения.

MD5

• 5a31b05d53c39d4a19c4b2b66139972f
• 90065f3de8466055b59f5356789001ba