Elastic Security Labs продолжает изучать разнообразные вредоносные программы, попадающие в их системы мониторинга. Недавно команда обнаружила новое семейство malware под названием DOUBLELOADER, которое распространяется вместе с инфостилером RHADAMANTHYS. Одной из ключевых особенностей DOUBLELOADER является использование открытого обфускатора ALCATRAZ, выпущенного в 2023 году. Изначально разработанный для сообщества взлома игр, этот инструмент теперь активно применяется в киберпреступности и целевых атаках.
Описание
Основная цель исследования - разобрать методы обфускации, применяемые ALCATRAZ, и показать, как аналитики могут противодействовать им. Среди этих методов - сглаживание потока управления, мутация инструкций, раскрытие констант, сокрытие значений через LEA, антидизассемблирование и обфускация точки входа.
DOUBLELOADER был замечен в декабре прошлого года как бэкдор, работающий в связке с RHADAMANTHYS. Он использует системные вызовы, такие как NtOpenProcess и NtCreateThreadEx, для запуска кода внутри explorer.exe. Кроме того, malware собирает информацию о системе, запрашивает обновления и связывается с C2-сервером по IP 185.147.125.81.
Один из явных признаков использования ALCATRAZ - наличие нестандартной секции .0Dev в бинарном файле. Обфускатор значительно усложняет анализ, изменяя структуру кода и затрудняя его декомпиляцию. Например, сглаживание потока управления превращает линейный код в запутанную сеть блоков, управляемых диспетчером.
ALCATRAZ предлагает пять основных функций обфускации, включая сокрытие точки входа. Вместо того чтобы начинать выполнение с обычного адреса, программа сначала вычисляет реальную точку входа через серию битовых операций. Это усложняет анализ, так как стандартные инструменты не могут автоматически определить начало кода.
Другой метод - антидизассемблирование через вставку коротких прыжков (0xEB) перед инструкциями, начинающимися с 0xFF. Это ломает дизассемблеры, заставляя аналитиков вручную исправлять код. Также ALCATRAZ мутирует инструкции, заменяя простые операции (например, сложение) на сложные цепочки команд, сохраняя при этом исходную логику.
Раскрытие констант - еще одна популярная техника. Вместо явного указания значений (например, числа 46) обфускатор разбивает их на серию математических операций, скрывая истинное значение. Аналогично, LEA-инструкции модифицируются так, чтобы скрыть адреса строк и данных, что усложняет анализ.
Для борьбы с этими методами исследователи используют инструменты вроде IDA Python и плагина D810, который помогает восстанавливать исходный контроль потока. Например, в DOUBLELOADER удалось исправить LEA-обфускацию, восстановив ссылки на строки, и очистить мутированные инструкции, вернув им исходный вид.
Хотя обфускация значительно усложняет анализ, понимание ее методов позволяет эффективнее бороться с защищенными вредоносными программами. Elastic Security Labs выпустили инструменты для деобфускации ALCATRAZ, что поможет сообществу быстрее анализировать подобные угрозы.
Индикаторы компрометации
IPv4
- 185.147.125.81
SHA256
- 3050c464360ba7004d60f3ea7ebdf85d9a778d931fbf1041fa5867b930e1f7fd
