Обнаружен новый троян удалённого доступа, использующий легитимный компонент Cloudflare и маскирующийся под установщик WPS

Главная особенность этой кампании - использование легитимного компонента cloudflared, предназначенного для организации защищённых туннелей. Вредоносная программа маскируется под установочный пакет WPS Office, что снижает бдительность пользователей. После запуска fake-установщик одновременно запускает легальный процесс инсталляции WPS и незаметно разворачивает собственную инфраструктуру.

Активность была зафиксирована ещё в начале года. Тогда же исследователи обнаружили образец, который сочетал сразу несколько техник обхода защиты. Вредоносный файл wps8bd-x64.exe был написан на языке Gentee, использующем виртуальную машину для выполнения зашифрованного байт-кода. Это позволяет избегать детектирования на основе сигнатур, поскольку зловредный код зашифрован до момента исполнения. Сразу после запуска программа с помощью сценария Visual Basic Script добавляет корневой каталог C:\ в список исключений Windows Defender. Таким образом контроль защиты операционной системы полностью отключается для всей файловой системы.

Далее образец распаковывает из своего тела два встроенных файла: cloudflared_installer.exe и WPS_Setup_17150.exe. Первый запускает легальный установщик Microsoft Installer, который инсталлирует компонент cloudflared. Этот компонент, подписанный компанией Cloudflare, не вызывает подозрений у антивирусов. Именно через него злоумышленники получают доступ к атакованному устройству. Второй файл запускает полноценную установку WPS Office, чтобы замаскировать вредоносную активность.

После завершения установки программа переходит к закреплению в системе - так называется набор методов, обеспечивающих автоматический запуск вредоносного кода после перезагрузки компьютера. Для этого используется сразу два механизма: служба Windows и задача в планировщике. Служба запускает cloudflared с параметрами, которые устанавливают туннель с адреса 127.0.0.1:443 на внешний сервер www.qccf2.cyou. Таким образом трафик между атакованной машиной и злоумышленником идёт через легитимный облачный сервис, что делает его неотличимым от обычного сетевого взаимодействия.

Параллельно создаётся задача в планировщике, которая с помощью системной утилиты rundll32.exe загружает динамическую библиотеку Guard.dll. Эта библиотека постоянно проверяет, работает ли основной модуль WindowsEvent.exe. Если он по какой-то причине остановлен, Guard.dll перезапускает задачу. Кроме того, второй задачей запускается сам WindowsEvent.exe - конечная полезная нагрузка, которая уже напрямую связывается с командно-контрольным сервером через тот же cloudflared-туннель.

Сам модуль WindowsEvent.exe написан с использованием многослойной защиты. Его код разбит на четыре специальных раздела внутри файла - .sc1, .sc2, .tc3, .tc4. При запуске программа собирает содержимое этих разделов в единый буфер и применяет к каждому байту операцию: (байт + 0x77) XOR 0x62. Так получается полноценный шелл-код второго этапа. Этот шелл-код в зависимости от архитектуры процессора (x86 или x64) выполняет загрузку финального модуля-загрузчика.

Далее загрузчик через динамическое разрешение API-функций (без использования таблиц импорта) подгружает необходимые системные библиотеки и находит в себе внедрённый ещё один Portable Executable (PE) файл. Этот PE-файл представляет собой сетевой загрузчик, который подключается к локальному порту 127.0.0.1:443 - тому самому, который открыт cloudflared-туннелем. После установки соединения загрузчик принимает от сервера команды и скачивает полноценный модуль удалённого управления.

Финальный модуль (последняя ступень) уже обладает полным набором функций трояна удалённого доступа. Он может записывать нажатия клавиш, делать скриншоты, загружать и запускать произвольные файлы, устанавливать плагины с дополнительными возможностями, выключать или перезагружать систему. Кроме того, модуль внедряет свой код в системный процесс svchost.exe, чтобы пережить завершение основного процесса. Он также устанавливает процесс как критический для системы - если его аварийно завершить, Windows выдаст синий экран (BSOD). Это делает попытки принудительного завершения опасными для стабильности работы компьютера.

Примечательно, что управляющие команды передаются в зашифрованном виде с использованием XOR-ключа на основе уникального идентификатора сессии. Сетевой протокол предусматривает обработку полупакетов и склеивание фрагментов, что усложняет обнаружение трафика средствами DPI. В случае обнаружения командой "антианализатор" проверяется наличие определённых окон на рабочем столе (например, отладчиков) - при их обнаружении соединение немедленно разрывается.

Специалисты Huorong подчёркивают, что традиционные методы защиты, основанные только на сигнатурах, неэффективны против такой атаки. Использование легитимного облачного сервиса для туннелирования, подписанного компонента cloudflared и двойной установки офисного пакета делает вредоносную программу практически невидимой для большинства антивирусных решений. Обнаружение возможно только на уровне поведенческого анализа - по факту создания подозрительной службы, открытию нестандартного TCP-туннеля или появлению аномальных задач в планировщике.

Пользователям рекомендуется обновить антивирусные базы и выполнить полную проверку системы. Следует обращать внимание на любые подозрительные установщики, даже если они выглядят как официальные продукты. Особую осторожность нужно проявлять при запуске файлов, полученных по электронной почте или скачанных из неофициальных источников. После установки любого программного обеспечения стоит проверить список служб и запланированных задач на наличие незнакомых элементов, особенно тех, которые ссылаются на компоненты типа cloudflared или используют нестандартные командные строки.

Текущие индикаторы компрометации включают домен www.qccf2.cyou и SHA256-хэш основного образца (значение опубликовано в отчёте). Автоматические средства Huorong уже блокируют данную угрозу. Однако атака демонстрирует, насколько изощрёнными стали современные кампании, направленные на скрытое внедрение и долговременное присутствие в инфраструктуре жертвы.

Domains

• www.qccf2.cyou

SHA256

• 02cddbb2e20bae84bc3d476b05b39805775a38559a558290e445e4038a786d77
• 21f15350de34eca4dd28158c814bd560cce87d00edc8e78639e15ff060c6528b
• 234e99ce891fa5e09a3bd328d1becc630edf73b42411804e775f43274f9e48df
• 5f825d5e6bfba99cd494145cebf6de0d0a15d589b2c07e15c5590a4522a54c2b
• a5125185e9ed46947c731d209e5640255c0c31ff01a36f435e4e9a591bd7d63f
• be023fac79d2c9be6e3874a78cae4e4d86db9a1fb540aec4032f9df529797ca4
• eee012d45335050983d74c367162e4976e830af82de3209ce91b3361b595fac4