В последнее время эксперты компании Palo Alto Networks обнаружили несколько новых образцов вредоносного программного обеспечения (ВПО), обладающих уникальными характеристиками, что затрудняет их атрибуцию и определение функциональности. Эти образцы ВПО, описанные в данной статье, включают пассивный бэкдор для сервера Internet Information Services (IIS), буткит, использующий незащищенный драйвер ядра, а также Windows-имплант кроссплатформенного фреймворка для постэксплойта. Все эти образцы являются необычными и вызывают особое внимание.
Описание
Первый образец - пассивный бэкдор для IIS, разработанный на C++/CLI, языке программирования, который редко используется вредоносными программами. Второй образец представляет собой буткит, использующий незащищенный драйвер ядра для установки загрузчика GRUB 2. Третий образец - Windows-имплант для постэксплойтационного фреймворка, созданный на C++.
Хотя последний образец не использует новые методы, он отличается от других фреймворков постэксплойта, которые были обнаружены в последнее время.
Пассивный бэкдор для IIS на C++/CLI достаточно сложен для анализа и построения декомпиляторов из-за специфических особенностей языка программирования C++/CLI. Обнаружены две версии этого бэкдора, включающие различные патчи и внутреннюю обработку команд. Одна из версий использует собственный инструмент-обертку cmd.exe, а нестандартная версия использует только cmd.exe.
Автор создал бэкдор в виде модуля IIS, который регистрирует себя для получения уведомлений о событии отправки HTTP-ответа сервером IIS. Поле заголовка пользовательского HTTP-запроса с именем X-ZA-Product внутренне переименовано в PWD_HEADER, а его значение - PWD_VALUE - зашифровано и кодировано в Base64. Другое поле заголовка HTTP-запроса, называемое X-ZA-Platform, обрабатывается как CMD_HEADER, а его значение - CMD_VALUE - также шифруется и кодируется в Base64. Бэкдор имеет обработчик событий, который анализирует включенные команды, полученные от CMD_HEADER, для выполнения дополнительных действий.
Образцы этих вредоносных программ были присланы из Таиланда и получены из базы данных VirusTotal.
Indicators of Compromise
SHA256
- 15db49717a9e9c1e26f5b1745870b028e0133d430ec14d52884cec28ccd3c8ab
- 8571a354b5cdd9ec3735b84fa207e72c7aea1ab82ea2e4ffea1373335b3e88f4
- 94017628658035206820723763a2a698a4fd7be98fc2c541aad6aa0281ef090e
- 950243a133db44e93b764e03c8d06b99310686d010b52b67f4effa57f0d72e04
- a28d0550524996ca63f26cb19f4b4d82019a1be24490343e9b916d2750162cda
- aa2d46665ea230e856689c614edcd9d932d9edad0083bf89c903299d148634a2
- cca5df85920dd2bdaaa2abc152383c9a1391a3e1c4217382a9b0fce5a83d6e0b
