Главная страница » Индикаторы компрометации
0
1 минута
Индикаторы компрометации

Многоступенчатая атака Cobalt Strike: от безобидной DLL до полного контроля над системой

information security

Специалисты компании Joe Security провели глубокий анализ образца, который изначально казался безвредным, но при ближайшем рассмотрении оказался сложным многоступенчатым загрузчиком, доставляющим в систему полнофункциональный модуль удалённого управления Cobalt Strike. Подобные цепочки заражения становятся всё более изощрёнными: злоумышленники используют прослойки из нескольких промежуточных этапов, чтобы обмануть системы защиты и затруднить анализ. Этот случай наглядно демонстрирует, как даже простой на первый взгляд файл может скрывать опасный функционал.

Описание

Исходный образец представлял собой DLL-библиотеку с именем G1kkgNRuTw.dll (хэш SHA-256: 4e791c25ea3e6fe490e9b53a1b13eaafef56d9cfc75930b380fc49fb843212b9). При загрузке в изолированную среду анализа он не проявлял активности, что насторожило исследователей. Однако дальнейшее изучение показало: поведение модуля зависит от окружения, а именно от того, присоединён ли компьютер к домену. Если условие не выполнялось, исполнение прекращалось - это эффективный приём, позволяющий избегать обнаружения в типовых песочницах, которые редко эмулируют корпоративную сеть.

Первая стадия загрузки была написана на .NET. Анализ с помощью инструмента Joe Reverser показал, что DLL извлекает из своего тела зашифрованные данные, применяет обращение строки, декодирование Base64 и XOR, после чего внедряет полученную полезную нагрузку в процесс iexplore.exe, запуская его в приостановленном состоянии. Именно так вредоносная программа переходит ко второму этапу. Чтобы восстановить этот промежуточный загрузчик, исследователям пришлось вручную реконструировать исполняемый файл из дампа памяти, поскольку исходная DLL содержала лишь упакованные данные. Полученный PE-файл был проанализирован повторно - он оказался ещё одним загрузчиком, который, в свою очередь, выделял память, разрешал импорт, исправлял относительные адреса и передавал управление финальному импланту.

Третий этап и стал ключевым. Анализ восстановленного исполняемого файла показал, что перед нами полноценный модуль удалённого управления с классической архитектурой маяка: он ожидает команды от сервера, периодически отправляя запросы, и выполняет полученные инструкции. Исследователи восстановили полную цепочку, включая промежуточные загрузчики, и смогли изучить протокол связи. Для начального обмена ключом применяется RSA-1024 (криптосистема с открытым ключом), после чего весь последующий трафик защищается с помощью AES (симметричное шифрование) и HMAC (код аутентификации сообщения). Такая гибридная схема - стандарт для профессиональных инструментов удалённого управления, и она делает перехват и расшифровку данных крайне затруднительными.

В конфигурации маяка были обнаружены два жёстко заданных адреса командно-контрольных серверов: microsoft.otp.lu и analytics.green-it.lu, а также путь /rest/funcStatus. Кроме того, в теле полезной нагрузки сохранился публичный ключ RSA. Сопоставив его с базами данных угроз, специалисты нашли на VirusTotal два образца, конфигурация которых полностью совпадала с полученной - вплоть до совпадения публичного ключа. Это позволило с высокой точностью отнести изученный образец к семейству Cobalt Strike, а именно к безстадийному маяку, который содержит всю конфигурацию внутри себя и не требует дополнительного обращения за полезной нагрузкой.

Полученный имплант обладает широким набором возможностей: он может выполнять произвольные команды, загружать и запускать другие исполняемые файлы непосредственно в памяти, управлять процессами и файлами, делать снимки экрана, красть учётные данные, подменять токены безопасности, а также перенаправлять трафик через заражённую машину. Особую опасность представляет поддержка операций, направленных на сокрытие следов: командные буферы полностью очищаются после обработки, а работа с полезной нагрузкой ведётся исключительно в оперативной памяти, минуя диск.

Данный инцидент - напоминание о том, что даже низкоуровневые сигнатуры и простые проверки на принадлежность к домену не должны усыплять бдительность. Злоумышленники всё активнее используют многоступенчатые цепочки, каждая стадия которых маскируется под безобидную операцию. Для защиты корпоративных сетей важно обеспечить глубокий мониторинг аномального поведения процессов, особенно тех, что запускают дочерние потоки в приостановленном состоянии или обращаются к криптографическим API. Использование изолированных сред анализа с поддержкой доменной аутентификации и возможностью восстанавливать исполняемые файлы из дампа памяти позволяет выявлять такие угрозы, которые иначе остались бы незамеченными.

Индикаторы компрометации

Domains

  • analytics.green-it.lu
  • microsoft.otp.lu

SHA256

  • 4e791c25ea3e6fe490e9b53a1b13eaafef56d9cfc75930b380fc49fb843212b9

Комментарии: 0
Похожие записи
0
30.04.2025
Индикаторы компрометации

Маштабная кампания по заражению компьютеров с использованием Cobalt Strike и Minhook DLL.

security
Компания Sophos отслеживала атаку на своих клиентов в конце 2023 года и в начале 2024 года, выявив использование библиотеки Minhook DLL для обхода вызовов Windows API и появление Cobalt Strike как полезной нагрузки.
0
12.05.2026
Индикаторы компрометации

Обнаружена уязвимость нулевого дня в драйвере Windows, связанная с китайскими APT-группировками

APT
Исследователи в области кибербезопасности выявили критическую уязвимость нулевого дня в драйвере Windows kernel-mode, который имеет цифровую подпись Microsoft WHQL.
0
18.03.2026
Индикаторы компрометации

Атакующая группа APT36 переходит на «вибвейр»: массовое производство посредственного вредоносного ПО с помощью ИИ

APT
В мире государственных APT-групп наметился тревожный сдвиг от качества к количеству. Пакистанская группировка APT36, также известная как Transparent Tribe, долгое время специализировавшаяся на целенаправленных