Эксперты в области кибербезопасности провели успешный анализ образца вредоносного ПО, известного как Brickstorm. В частности, была преодолена обфускация (запутывание кода), выполненная с помощью открытого инструмента Garble, написанного на языке Go. Данный инструмент активно используется злоумышленниками для усложнения анализа своих разработок.
Описание
Объектом исследования стал образец с хэш-суммой SHA-256 "90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035", недавно загруженный на портал VirusTotal. Изначально внимание на эту угрозу обратила компания Mandiant, которая также выпустила утилиту для декодирования строк, зашифрованных Garble. Интересно, что независимый анализ, проведенный в данном случае, во многом совпал с методами, ранее описанными специалистами Google Threat Intelligence (GTI). Эксперты GTI углубились в изучение кода, отвечающего за преобразование абстрактного синтаксического дерева (AST) в Garble, что позволило лучше понять механизмы обфускации.
Для извлечения зашифрованных строковых констант из бинарного файла исследователь применил эмуляцию кода. В основе метода лежало использование YARA-правил для обнаружения в машинном коде специфических последовательностей инструкций, характерных для работы Garble. После обнаружения этих фрагментов кода они исполнялись в изолированной среде эмулятора Unicorn, что позволило восстановить оригинальные строки, которые в процессе обфускации были разбиты и преобразованы.
В результате декодирования был получен обширный набор строк, который проливает свет на функционал вредоносного ПО. Среди них обнаружены многочисленные сообщения об ошибках и отладочные строки, связанные с криптографическими библиотеками, работой с TLS/SSL и реализацией сетевого протокола QUIC. Это указывает на то, что Brickstorm обладает сложными сетевыми возможностями, включая шифрование трафика. Более того, в коде присутствуют строки, характерные для веб-сервера (например, шаблоны HTML, обработка HTTP-запросов "GET" и "POST", управление файлами через "/api"), что позволяет предположить наличие у вредоносной программы функций бекдора или веб-шелла для управления файловой системой.
Также были выявлены сетевые конфигурации, включая адрес "wss://natsupport[.]net/api", который, вероятно, используется как командно-управляющий сервер (C2). Кроме того, в коде встречаются пути к системным утилитам, таким как "/opt/vmware/vpostgres/current/bin/pg_update" и "/usr/sbin/rpclistener", что может говорить о целевых атаках на специфичное программное обеспечение или использовании легитимных инструментов для вредоносной деятельности (Living-off-the-Land).
Анализ строк подтверждает, что Brickstorm является сложной угрозой, возможно, связанной с деятельностью APT-групп (Advanced Persistent Threat). Использование инструмента Garble для обфускации и наличие широкого спектра сетевых и криптографических функций делают эту программу трудной для обнаружения и анализа. Данное исследование подчеркивает важность разработки и обмена методиками обратной инженерии для противодействия современным сложным угрозам, активно использующим техники усложнения анализа.
Индикаторы компрометации
WebSockets Secure
- wss://natsupport.net/api
SHA256
- 90b760ed1d0dcb3ef0f2b6d6195c9d852bcb65eca293578982a8c4b64f51b035
