Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware VOID#GEIST

Malware VOID#GEIST

V roce Mezo v roce Malware, Nástroje pro vzdálenou správu
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovanou vícestupňovou malwarovou kampaň, která se spoléhá na dávkové skripty k doručování šifrovaných dat trojských koní pro vzdálený přístup (RAT). Kampaň s označením VOID#GEIST využívá několik rodin RAT, včetně XWorm, AsyncRAT a Xeno RAT.

Útočný řetězec využívá obfuskovaný dávkový skript, který iniciuje sekvenci akcí určených k vyhnutí se detekci. Mezi tyto akce patří spuštění dalšího dávkového skriptu, vytvoření legitimního integrovaného běhového prostředí Pythonu a dešifrování šifrovaných datových částí shellcode. Shellcode se po vložení do samostatných instancí procesu explorer.exe systému Windows pomocí techniky známé jako vložení asynchronních procedur Early Bird (APC).

Doručování malwaru řízeného skripty: Moderní model hrozeb

Moderní útočníci stále častěji opouštějí tradiční samostatné spustitelné malware ve prospěch vrstvených, na skriptech založených frameworků, které napodobují chování legitimních uživatelů. Místo nasazení konvenčních přenositelných binárních souborů (PE) útočníci orchestrují vícekomponentní pipeline, které kombinují několik legitimních technologií a skriptovacích prostředí.

Mezi typické komponenty používané v těchto rámcích patří:

  • Dávkové skripty používané k orchestraci infekční sekvence.
  • Příkazy PowerShellu, které usnadňují nenápadné stagingování datových částí.
  • Vestavěné legitimní běhové prostředí, které zajišťují přenositelnost napříč systémy.
  • Nezpracovaný shellcode spouštěný přímo v paměti pro zachování perzistence a kontroly.

Tento přístup k bezsouborovému provádění výrazně snižuje pravděpodobnost detekce na disku. Každá jednotlivá fáze se při samostatném zkoumání jeví jako relativně neškodná a často připomíná rutinní administrativní činnost, což umožňuje útočníkům operovat v kompromitovaném prostředí, aniž by okamžitě vyvolávali bezpečnostní varování.

Počáteční přístup prostřednictvím phishingu a infrastruktury Cloudflare

Vstupním bodem útoku je škodlivý dávkový skript doručený prostřednictvím phishingových e-mailů. Skript je načten z infrastruktury hostované na doméně TryCloudflare. Po spuštění se skript záměrně vyhýbá pokusům o eskalaci oprávnění a místo toho pracuje striktně v rámci oprávnění aktuálně přihlášeného uživatele.

Tato strategie umožňuje malwaru etablovat se a zároveň se začlenit do běžných operací na uživatelské úrovni. Vyhýbáním se akcím vyžadujícím zvýšená oprávnění útok snižuje pravděpodobnost spuštění bezpečnostních varování nebo výzev pro správu.

Vizuální rozptýlení a techniky nenápadného provedení

Po spuštění první fáze malwaru spustí návnadový dokument, který má oběť odvést. Prohlížeč Google Chrome se otevře v režimu celé obrazovky a zobrazí finanční dokument nebo fakturu ve formátu PDF. Zatímco se uživatel soustředí na dokument, škodlivá aktivita pokračuje na pozadí.

Současně se provede příkaz PowerShellu pro opětovné spuštění původního dávkového skriptu se skrytými parametry spuštění. Použití parametru -WindowStyle Hidden zabraňuje zobrazení viditelného okna konzole, čímž se zajistí, že škodlivá aktivita zůstane před uživatelem skryta.

Perzistence prostřednictvím spuštění na uživatelské úrovni

Aby malware zachoval perzistenci i po restartu systému, nasazuje pomocný dávkový skript do spouštěcího adresáře uživatele systému Windows. Toto umístění zajišťuje, že se skript automaticky spustí vždy, když se oběť přihlásí do systému.

Tento mechanismus perzistence je záměrně nenápadný. Místo použití rušivějších technik, jako je úprava klíčů systémového registru, vytváření naplánovaných úloh nebo instalace služeb, se malware spoléhá výhradně na standardní chování při spouštění na úrovni uživatele. Protože tento přístup funguje výhradně v kontextu oprávnění aktuálního uživatele, vyhýbá se spouštění výzev k eskalaci oprávnění a snižuje pravděpodobnost detekce nástroji pro monitorování registru.

Rámec pro načítání a dešifrování dat

Během další fáze infekčního řetězce malware kontaktuje doménu TryCloudflare, aby získal další komponenty datového obsahu zabalené v ZIP archivech. Tyto archivy obsahují moduly potřebné k dešifrování a spuštění finálních datových souborů malwaru.

Stažený archiv obvykle obsahuje následující komponenty:

  • runn.py – zavaděč založený na Pythonu, který je zodpovědný za dešifrování a vkládání šifrovaných modulů shellcode do paměti
  • new.bin – šifrovaný shellcode payload spojený s XWorm
  • xn.bin – šifrovaný shellcode payload odpovídající Xeno RAT
  • pul.bin – šifrovaný shellcode datový obsah odpovídající AsyncRAT
  • a.json, n.json a p.json – klíčové soubory používané zavaděčem Pythonu k dynamickému dešifrování dat shellcode během běhu

Tato modulární konstrukce umožňuje útočníkům nezávisle na sobě přidávat různá užitečná zatížení a aktivovat je pouze v případě potřeby.

Vestavěné běhové prostředí Pythonu pro přenositelnost a nenápadnost

Jakmile je archiv rozbalen, malware nasadí legitimní vložený běhový modul Pythonu získaný přímo z python.org. Vložení legitimního interpretu eliminuje závislost na jakékoli instalaci Pythonu, která již může na napadeném systému existovat.

Z pohledu útočníka tento krok poskytuje několik strategických výhod. Malware se stává samostatným spouštěcím prostředím schopným dešifrovat a vkládat datové části bez nutnosti externích závislostí. To zlepšuje přenositelnost mezi různými systémy, zvyšuje spolehlivost a přispívá k utajení provozu díky použití legitimních softwarových komponent.

Spouštění více datových částí RAT v paměti

Vložený běhový modul Pythonu se poté použije ke spuštění zavaděče runn.py. Zavaděč dešifruje shellcode spojený s XWorm a vloží ho do běžící instance explorer.exe pomocí APC injection Early Bird.

Pro nasazení Xeno RAT využívá malware legitimní binární soubor od společnosti Microsoft s názvem AppInstallerPythonRedirector.exe, který se používá ke spuštění Pythonu a požadovaných komponent. Stejná technika vkládání se následně znovu použije k nasazení AsyncRAT, což zajišťuje, že všechny datové části jsou spuštěny výhradně v paměti, aniž by na disku zůstaly tradiční spustitelné artefakty.

Systémy velení a řízení a modulární architektura

Poslední fáze útoku zahrnuje odeslání minimálního HTTP beaconu do útočníkem ovládané infrastruktury Command-and-Control (C2) hostované na TryCloudflare. Tento beacon potvrzuje, že systém byl úspěšně napaden a je připraven přijímat další pokyny.

Přestože konkrétní cíle kampaně zůstávají neznámé, infekční řetězec vykazuje vysoce modulární architekturu. Místo nasazení jediného velkého malwarového zatížení útočníci zavádějí komponenty postupně v několika fázích. Tento design zlepšuje provozní flexibilitu a odolnost.

Z pohledu detekce se v průběhu kampaně objevuje jeden pozoruhodný behaviorální ukazatel: opakované vkládání procesů do explorer.exe v krátkých časových intervalech. Tento vzorec může sloužit jako silný signál pro obránce, kteří se snaží korelovat podezřelou aktivitu v různých fázích životního cyklu útoku.

Trendy

Nejvíce shlédnuto

Načítání...