Злоумышленники используют протоколы передачи файлов, такие как SMB, FTP, FTPS и TFTP, для вредоносной деятельности, смешивая их сообщения с обычным сетевым трафиком, что затрудняет обнаружение. Эти протоколы по своей сути содержат множество полей и заголовков, которыми можно манипулировать для сокрытия вредоносных команд и данных. Этот метод особенно эффективен для командно-контрольных операций, позволяя злоумышленникам незаметно поддерживать связь со взломанными системами. Они также могут использовать эти протоколы для передачи вредоносных программ или утечки данных, при этом все это выглядит как обычный трафик передачи файлов.
Протокол прикладного уровня: Протоколы передачи файлов
Например, в кампании DarkGate в марте-апреле 2024 года злоумышленники использовали протокол SMB для скрытой передачи вредоносных полезных нагрузок и скриптов.
Во вредоносные файлы Microsoft Excel были встроены объекты, которые при срабатывании получали файлы VBScript (.vbs) или JavaScript (.js) непосредственно с общедоступных SMB-ресурсов, таких как:
| 1 | \\167[.]99[.]115[.]133\share\EXCEL_OPEN_DOCUMENT[.]vbs |
Эти сценарии выполняли команды для загрузки и запуска последующих сценариев PowerShell, которые извлекали дополнительные компоненты вредоносного ПО, такие как обфусцированный шелл-код (test.txt) и исполняемые файлы на основе AutoHotKey из SMB или HTTP-соединений. Используя SMB, протокол, доверенный для легитимных операций обмена файлами, DarkGate смешивала передачу вредоносных файлов с обычным сетевым трафиком, снижая риск обнаружения.
Поэтапный модульный подход способствовал скрытному развертыванию и исполнению полезной нагрузки, а использование общедоступных ресурсов SMB сводило к минимуму прямую связь с традиционными серверами C2, обеспечивая устойчивость и уклонение от средств сетевого мониторинга.
С другой стороны, как сообщалось в апреле 2024 года в кампании LemonDuck, злоумышленники использовали протокол SMB для скрытой передачи вредоносных файлов и поддержания устойчивости. Используя уязвимость EternalBlue (CVE-2017-0144), злоумышленник получал начальный доступ и создавал скрытый административный ресурс на диске C:, что позволяло осуществлять удаленную передачу файлов без обнаружения.
Вредоносные исполняемые файлы, такие как msInstall.exe и его переименованные версии (FdQn.exe, HbxbVCnn.exe), передавались и исполнялись через SMB, смешиваясь с обычным файлообменом. Злоумышленник использовал SMB для развертывания скриптов и пакетных файлов (p.bat) для выполнения запланированных задач, изменения сетевых конфигураций и загрузки дополнительной полезной нагрузки, обеспечивая непрерывное выполнение вредоносного ПО.
Используя SMB для передачи и выполнения файлов, LemonDuck незаметно перемещал полезную нагрузку между системами, избегая обнаружения, демонстрируя эффективность протокола для скрытой связи и доставки вредоносных программ в операциях злоумышленников.