Fileless Malware IOCs

Исследователи обнаружили вредоносную кампанию, использующую невиданную ранее технику тихой установки безфайловых вредоносных программ на целевые машины.

Fileless Malware

Эта техника предполагает внедрение шеллкода непосредственно в журналы событий Windows. Это позволяет злоумышленникам использовать журналы событий Windows в качестве прикрытия для вредоносных троянских программ на поздних стадиях, говорится в отчете об исследовании Kaspersky, опубликованном в среду.

Исследователи обнаружили эту кампанию в феврале и считают, что неизвестные противники были активны в течение последнего месяца.

"Мы считаем технику журналов событий, которую мы не видели раньше, самой инновационной частью этой кампании", - написал Денис Легезо, старший исследователь безопасности из группы глобальных исследований и анализа Kaspersky.

Злоумышленники, стоящие за этой кампанией, используют ряд инструментов для инъекций и технику защиты от обнаружения, чтобы доставить полезную нагрузку вредоносного ПО. "По крайней мере, два коммерческих продукта в использовании, а также несколько типов RAT последней стадии и обёрток для защиты от обнаружения - всё это говорит о том, что злоумышленники, стоящие за этой кампанией, обладают достаточными возможностями", - пишет Легезо.

На первом этапе атаки злоумышленник ведет цель на легитимный веб-сайт и предлагает ей загрузить сжатый .RAR-файл с инструментами тестирования на проникновение в сеть под названием Cobalt Strike и SilentBreak. Оба инструмента популярны среди хакеров, которые используют их в качестве средства доставки шеллкода на целевые машины.

В Cobalt Strike и SilentBreak используются отдельные дешифраторы AES с защитой от обнаружения, скомпилированные с помощью Visual Studio.

Цифровой сертификат для модуля Cobalt Strike различен. По словам Касперского, "было подписано 15 различных стейджей от оберток до последнего стейджа".

Далее злоумышленники могут использовать Cobalt Strike и SilentBreak для "внедрения кода в любой процесс" и могут внедрить дополнительные модули в системные процессы Windows или доверенные приложения, такие как DLP.

"Этот уровень цепочки заражения расшифровывает, отображает в память и запускает код", - говорят они.

Способность внедрять вредоносное ПО в память системы классифицирует его как безфайловое. Как следует из названия, безфайловые вредоносные программы заражают целевые компьютеры, не оставляя никаких артефактов на локальном жестком диске, что позволяет им легко обходить традиционные средства защиты и криминалистики на основе сигнатур. Техника, при которой злоумышленники скрывают свои действия в памяти компьютера с произвольным доступом и используют встроенные инструменты Windows, такие как PowerShell и Windows Management Instrumentation (WMI), не нова.

Однако новым является то, как зашифрованный шелл-код, содержащий вредоносную полезную нагрузку, внедряется в журналы событий Windows. Чтобы избежать обнаружения, код "делится на блоки размером 8 КБ и сохраняется в двоичной части журналов событий".

Легезо сказал: "Дроппер не только помещает программу запуска на диск для боковой загрузки, но и записывает информационные сообщения с шеллкодом в существующий журнал событий Windows KMS."

"Сброшенный wer.dll является загрузчиком и не причинил бы никакого вреда без шеллкода, спрятанного в журналах событий Windows", - продолжает он. "Дроппер ищет в журнале событий записи с категорией 0x4142 ("AB" в ASCII) и указанием службы управления ключами в качестве источника. Если ни одна из них не найдена, куски шеллкода размером 8 КБ записываются в сообщения журнала регистрации информации с помощью функции ReportEvent() Windows API (параметр lpRawData)".

Далее в директорию Windows Tasks забрасывается программа запуска. "В точке входа отдельный поток объединяет все вышеупомянутые фрагменты размером 8 КБ в полный шеллкод и запускает его", - пишет исследователь.

"Такое внимание к журналам событий в кампании не ограничивается хранением шеллкодов", - добавили исследователи. "Модули-дропперы также вносят изменения в собственные функции Windows API, связанные с отслеживанием событий (ETW) и интерфейсом сканирования антивирусных программ (AMSI), чтобы сделать процесс заражения более скрытным".
Неопознанный противник доставляет болевую нагрузку

Используя этот скрытный подход, злоумышленники могут доставить любой из двух троянов удаленного доступа (RAT), каждый из которых представляет собой комбинацию сложного пользовательского кода и элементов общедоступного программного обеспечения.

В целом, благодаря своей "способности внедрять код в любой процесс с помощью троянов, злоумышленники могут широко использовать эту возможность для внедрения следующих модулей в системные процессы Windows или доверенные приложения".

Атрибуция в киберпространстве - дело непростое. Лучшее, что могут сделать аналитики, это глубоко изучить тактику, методы и процедуры злоумышленников (ТТП), а также код, который они пишут. Если эти ТТП или код совпадают с прошлыми кампаниями известных субъектов, это может стать основанием для уличения подозреваемого.

В данном случае исследователи столкнулись с трудностями атрибуции.

Это связано с тем, что помимо беспрецедентной техники внедрения шеллкода в журналы событий Windows, в этой кампании есть еще один уникальный компонент: сам код. В то время как дропперы являются коммерчески доступными продуктами, обёртки для защиты от обнаружения и RAT, с которыми они поставляются в паре, сделаны на заказ (хотя, по словам исследователей, "некоторые модули, которые мы считаем пользовательскими, такие как обёртки и последние стейджеры, возможно, являются частями коммерческих продуктов").

Согласно отчету, "код совершенно уникален и не имеет сходства с известными вредоносными программами". По этой причине исследователям еще предстоит установить личность злоумышленников.

"Если появятся новые модули, которые позволят нам связать активность с каким-то актором, мы соответствующим образом обновим название".

Indicators of Compromise

IPv4

178.79.176.136
93.95.228.97
162.0.224.144
185.145.253.62
194.195.241.46
178.79.176.1

Domains

eleed.online
eleed.cloud
timestechnologies.org
avstats.net
mannlib.com
nagios.dreamvps.com
opswat.info

URLs

https://opswat.info:443

MD5

822680649cdeabc781903870b34fb7a7
345a8745e1e3ae576fbcc69d3c8a310b
ef825fecd4e67d5ec5b9666a21fbba2a
fa5943c673398d834fb328ce9b62aaad
2080a099bdc7aa86db55badffbc71566
0d415973f958ac30cb25bd845319d960
209a4d190dc1f6ec0968578905920641
e81187e1f2e6a2d4d3ad291120a42ce7
ace22457c868df82028db95e5a3b7984
1cedf339a13b1f7987d485cd80d141b6
24866291d5deee783624ab51516a078f
13b5e1654869985f2207d846e4c0dbfd
59a46db173ea074ec345d4d8734cb89a
0b40033fb7c799536c921b1a1a02129f
603413fc026e4713e7d3eedab0df5d8d
42a4913773bbda4bc9d01d48b4a7642f
9619e13b034f64835f0476d68220a86b
0c0acc057644b21f6e76dd676d4f2389
16eb7b5060e543237eca689bdc772148
54271c17684ca60c6ce37ee47b5493fb
77e06b01787b24343f62cf5d5a8f9995
86737f0ae8cf01b395997cd5512b8fc8
964cb389ebf39f240e8c474e200caac3
59a46db173ea074ec345d4d8734cb89a
a5c236982b0f1d26fb741df9e9925018
d408ff4fde7870e30804a1d1147efe7c
dff3c0d4f6e2c26936b9bd82db5a1735
e13d963784c544b94d3db5616e50b8ae
e9766c71159fc2051bbfc48a4639243f
f3da1e157e3e344788886b3ca29e02bd

File Paths

C:\Users\admin\source\repos\drx\x64\Release\sb.pdb
C:\Users\admin\source\repos\drx\x64\Release\zOS.pdb
C:\Users\admin\source\repos\drx\x64\Release\ThrowbackDLL.pdb
C:\Users\admin\source\repos\drx\x64\Release\drxDLL.pdb
C:\Users\admin\source\repos\drx\x64\Release\monolithDLL.pdb

C:\Windows\Tasks\wer.dll
C:\Windows\Tasks\WerFault.exe copy of the legit one to sideload the malicious .dll
Named pipe MonolithPipe

Windows Events

Журналы событий с категорией 0x4142 в источнике Key Management Service. Идентификатор события автоматически увеличивается, начиная с 1423.