Виртуальная встреча: аналитик по ИБ вступил в прямой диалог с автором вредоносного загрузчика Kiss Loader

Загрузчик Kiss Loader на момент обнаружения представлял собой новый, ранее не встречавшийся инструмент. Его цепочка выполнения, реконструированная аналитиком, является классическим примером многоэтапной атаки. Все начинается с файла ярлыка Windows, замаскированного под PDF-документ. Этот ярлык подключается к удалённому ресурсу WebDAV, размещённому через сервис TryCloudflare, который создаёт временные публичные туннели к локально размещённым службам. Это позволяет злоумышленнику гибко изменять полезные нагрузки без необходимости регистрации домена. Далее выполняется каскад скриптов на языках WSH и JScript, которые отображают пользователю поддельный PDF-файл для отвода внимания, устанавливают закрепление в системе через папку автозагрузки и загружают архив с основными компонентами.

Ключевым компонентом является сам загрузчик, написанный на Python. Он отвечает за расшифровку финальной полезной нагрузки, скрытой в бинарных файлах. Ключи для дешифрования хранятся в отдельных JSON-файлах. Аналитик установил, что скрытая оболочка была сгенерирована с помощью открытого инструмента Donut, который создаёт позиционно-независимый код для выполнения сборок .NET непосредственно в памяти. После расшифровки были выявлены две вредоносные компоненты: одна была определена как VenomRAT, вариант известного удалённого административного трояна (RAT) AsyncRAT, а другая представляла собой утилиту, защищённую обфускатором .NET Reactor. Финальная стадия - внедрение этой вредоносной нагрузки в легитимный процесс explorer.exe с использованием техники под названием Early Bird APC (Asynchronous Procedure Call, асинхронный вызов процедур). Этот метод повышает скрытность, позволяя коду выполниться в контексте доверенного процесса до начала его нормальной работы.

Что сделало этот случай особенным, так это состояние инфраструктуры злоумышленника. Каталог WebDAV, использовавшийся для доставки вредоносных скриптов и загрузчика, был полностью открыт для публичного доступа, без каких-либо ограничений. Это позволило аналитику не только изучить файлы, но и заметить явные признаки того, что инструментарий находится в активной разработке. Код содержал многочисленные комментарии, подробно описывающие логику дешифрования и внедрения, что может указывать на использование автоматизированных средств генерации кода. Кроме того, в скриптах присутствовали служебные классы для тестирования, а сам загрузчик при запуске выводил подробные отладочные сообщения, что нехарактерно для финальных боевых версий вредоносного ПО. Всё это свидетельствовало о работе угрозового актора в режиме отладки и подготовки.

Решающим моментом стало решение аналитика выполнить вредоносный ярлык в контролируемой среде для наблюдения за полным циклом атаки. После начала процесса дешифровки обстановка резко изменилась: окна командной строки и аналитических инструментов, таких как Notepad++ и Process Explorer, начали самопроизвольно закрываться. Затем курсор мыши пришёл в движение без участия пользователя. Осознав, что система находится под удалённым контролем, аналитик провёл нестандартный эксперимент. Он повторно запустил образец и оставил открытым окно текстового редактора с вопросом: "Привет! Вы автор этого вредоносного ПО?". Примерно через час в том же окне появился ответ. Как следует из скриншота, опубликованного в отчёте, короткий и неформальный диалог подтвердил, что на другой стороне находится разработчик Kiss Loader. Угрозовый актор проявил любопытство, спросил об используемых инструментах анализа и прямо подтвердил, что занимается разработкой вредоносного программного обеспечения, экспериментируя с различными техниками, включая упомянутый Early Bird APC.

Этот прямой, хотя и краткий, обмен сообщениями является исключительным случаем в практике киберрасследований. Он подчёркивает важнейший принцип: анализ потенциально опасных образцов должен всегда проводиться в строго изолированных средах, так как даже контролируемое выполнение может привести к неожиданному взаимодействию с живым противником. Загрузчик Kiss Loader, несмотря на свою незавершённость, демонстрирует применение современных техник уклонения от обнаружения и представляет собой формирующуюся угрозу. Инцидент также служит напоминанием, что за любым вредоносным кодом стоит человек, который может допустить ошибки - будь то в конфигурации инфраструктуры, оставляющей её открытой, или в излишней детализации кода. Для специалистов по информационной безопасности это лишний повод уделять внимание не только сигнатурам и поведенческим аномалиям, но и анализу тактик, техник и процедур (TTP), которые могут выдать как инструментарий, так и его создателя на ранних стадиях разработки.

SHA256

• 130ca411a3ef6c37dbd0b1746667b1386c3ac3be089c8177bc8bee5896ad2a02
• 20a585c4d153f5f551aaa509c8c1fa289fa6f964fe53f241ef9431a9390b3175
• 2b40a8a79b6cf90160450caaad12f9c178707bead32bcc187deb02f71c25c354
• 549c1f1998f22e06dde086f70f031dbf5a3481bd3c5370d7605006b6a20b5b0b
• 5cab6bf65f7836371d5c27fbfc20fe10c0c4a11784990ed1a3d2585fa5431ba6
• 665f44b5a46947ad4fdac34a2dca4cf52b3e7e21cfa3bd0fc3ef10bd901ad651
• 6a7c3029cd4f7ffe9a24ea5d696e1f612ada91b5a5ca5b28d4972d9c772051fd
• 6abd118a0e6f5d67bfe1a79dacc1fd198059d8d66381563678f4e27ecb413fa7
• 6d62b39805529aefe0ac0270a0b805de6686d169348a90866bf47a07acde2284
• b3737f621eb2ee6d784a6b9d695b890a5f22ee69e96058c99d9048b479451fbd
• b4525711eafbd70288a9869825e5bb3045af072b5821cf8fbc89245aba57270a
• e8dbdab0afac4decce1e4f8e74cc1c1649807f791c29df20ff72701a9086c2a0
• e8f83d67a6b894399fad774ac196c71683de9ddca3cf0441bb95318f5136b553