Обратный слеш как инструмент обхода: новый образец APT32 использует особенность Windows для уклонения от анализа в песочнице

Инцидент начался с обнаружения IMG-файла, который при запуске на системе Windows монтируется как виртуальный оптический диск. На диске находится ярлык (LNK-файл), который запускает легитимный исполняемый файл imebiz.exe (компонент входного метода Sogou) с параметром "-render 1440". Этот легитимный процесс затем использует технику Living off the land ("живи вне земли"), чтобы загрузить вредоносную динамическую библиотеку "browser_host.dll".

Библиотека "browser_host.dll" содержит многоступенчатую логику. При первом запуске с параметром "-render 1440" она внедряет в подходящий процесс шелл-код (shellcode1). Этот шелл-код отвечает за обеспечение постоянства (persistence) в системе: он копирует файлы в папку "%LOCALAPPDATA%\ImeBiz" и добавляет запись в автозагрузку реестра. После этого он перезапускает основной процесс, но уже с новым параметром "-render 2160". При запуске с этим параметром активируется вторая стадия атаки: библиотека расшифровывает и внедряет второй, более сложный шелл-код (shellcode2). Этот финальный полезный груз (payload) представляет собой шелл-кодированную программу-шпион (RAT), написанную на Rust, которая устанавливает соединение с командным сервером (C&C) по адресу "http://62.76.234[.]33".

Наиболее интересный аспект этой кампании - механизм проверки окружения. Исследователи заметили, что образец ведет себя по-разному в зависимости от среды выполнения. При прямом запуске на реальной системе он работает корректно. Однако в среде отладки или в автоматизированных песочницах процесс завершался с ошибкой на этапе попытки открыть документ "邀请函回执.docx".

Причина этого кроется в использовании функции Windows "GetCurrentDirectoryW". Этот код пытается сконструировать путь к файлу "docx". Логика построения пути работает корректно только в том случае, если текущий рабочий каталог процесса является корневым (например, "C:\"). В этом случае функция возвращает путь с завершающим обратным слешем ("C:\"). Если же процесс запущен из любой другой папки (например, "C:\Users\admin\Desktop"), функция возвращает путь без завершающего слеша. Это приводит к ошибке в функции "swprintf_s", и троян аварийно завершает работу.

Именно эта особенность стала ключом к обходу песочниц. Большинство автоматизированных систем анализа безопасности, таких как песочницы VirusTotal, ANY.RUN, CAPE или ThreatBook, для удобства извлекают содержимое IMG-архива во временную рабочую директорию. Они почти никогда не запускают анализ из корня диска. Следовательно, троян, обнаружив, что он выполняется не из корневой директории, интерпретирует это как признак анализа и тихо завершает свою вредоносную активность, оставаясь необнаруженным.

Эта техника оказалась весьма эффективной. На момент обнаружения показатель детектирования (detection rate) на VirusTotal составлял всего 5 из 62 антивирусных движков. На платформе ThreatBook вредоносная активность не была детектирована ни одним из 28 сканеров. Образец также включает другие методы противодействия анализу, такие как проверка имен процессов (вероятно, связанных с инструментами безопасности) по их хэшам и использование инъекции кода в системную библиотеку "d3d10warp.dll".

Данный случай наглядно иллюстрирует, как киберпреступники, особенно связанные с APT-группами, продолжают совершенствовать свои методы. Они переходят от сложных, многосоставных уязвимостей нулевого дня к эксплуатации тонкостей и предполагаемого поведения обычных API-функций операционной системы. Такой подход затрудняет создание универсальных сигнатур для средств защиты. Борьба с подобными угрозами требует от специалистов по безопасности глубокого понимания внутренних механизмов ОС и постоянного совершенствования методов динамического и ручного анализа.

URLs

• http://62.76.234.33:80/users/89b159ce-6bcd-49e9-b048-4d3a14c5c31d/profile/information

MD5

• 91c6080d291095c800782e1847f1ad76
• be59979320eee15ea7d1c3710eeea774
• cadbb414e7a68c64d756c92740c16370