Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Βαθύς Φόρτωση Κακόβουλου Λογισμικού

Βαθύς Φόρτωση Κακόβουλου Λογισμικού

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια πρόσφατα εντοπισμένη καμπάνια επίθεσης χρησιμοποιεί την τεχνική κοινωνικής μηχανικής ClickFix για να ξεκινήσει τη μόλυνση. Τα θύματα χειραγωγούνται ώστε να εκτελούν κακόβουλες εντολές PowerShell, επικολλώντας τες στο παράθυρο διαλόγου Εκτέλεση των Windows με το πρόσχημα της επίλυσης ενός κατασκευασμένου προβλήματος συστήματος. Αυτό το αρχικό βήμα αξιοποιεί το mshta.exe, ένα νόμιμο βοηθητικό πρόγραμμα των Windows, για την ανάκτηση και εκτέλεση ενός προβληματικού φορτωτή που βασίζεται σε PowerShell.

Σύγκρουση Σχεδιασμένη για αποφυγή

Το πρόγραμμα φόρτωσης PowerShell αποκρύπτει τον πραγματικό του σκοπό μέσω υπερβολικών και άνευ νοήματος αναθέσεων μεταβλητών, περιπλέκοντας σημαντικά τη στατική ανάλυση. Τα στοιχεία υποδηλώνουν ότι εργαλεία τεχνητής νοημοσύνης πιθανότατα χρησιμοποιήθηκαν για την κατασκευή αυτού του επιπέδου συσκότισης, ενισχύοντας την πολυπλοκότητά του. Αυτή η προσέγγιση επιτρέπει στο κακόβουλο λογισμικό να παρακάμπτει τους παραδοσιακούς μηχανισμούς ανίχνευσης διατηρώντας παράλληλα την επιχειρησιακή του ακεραιότητα.

Σύστημα Stealth Through Camouflage

Το DeepLoad έχει σχεδιαστεί ειδικά για να ενσωματώνεται άψογα στις τυπικές λειτουργίες των Windows. Το ωφέλιμο φορτίο είναι κρυμμένο μέσα σε ένα εκτελέσιμο αρχείο με το όνομα LockAppHost.exe, μια νόμιμη διεργασία υπεύθυνη για τη διαχείριση της οθόνης κλειδώματος των Windows. Για να αποκρύψει περαιτέρω την παρουσία του, το κακόβουλο λογισμικό απενεργοποιεί το ιστορικό εντολών του PowerShell και καλεί απευθείας τις εγγενείς βασικές λειτουργίες των Windows αντί να βασίζεται στις τυπικές εντολές του PowerShell. Αυτή η τεχνική του επιτρέπει να αποφεύγει τα συστήματα παρακολούθησης που παρακολουθούν τη δραστηριότητα του PowerShell.

Τεχνικές χωρίς αρχεία και δυναμική δημιουργία ωφέλιμου φορτίου

Για την ελαχιστοποίηση της ανίχνευσης, το DeepLoad αποφεύγει την παραμονή συνεχών τεχνουργημάτων στο δίσκο. Δημιουργεί δυναμικά ένα δευτερεύον στοιχείο χρησιμοποιώντας τη λειτουργία Add-Type του PowerShell, μεταγλωττίζοντας κώδικα C# σε ένα προσωρινό αρχείο DLL που είναι αποθηκευμένο στον προσωρινό κατάλογο του χρήστη. Κάθε εκτέλεση παράγει ένα αρχείο με μοναδικό όνομα, παρακάμπτοντας αποτελεσματικά τις μεθόδους ανίχνευσης που βασίζονται σε αρχεία και βασίζονται σε γνωστές υπογραφές.

Προηγμένη ένεση για μυστική εκτέλεση

Μια βασική στρατηγική αποφυγής περιλαμβάνει τη χρήση της έγχυσης ασύγχρονης κλήσης διαδικασίας (APC). Το κακόβουλο λογισμικό εκκινεί μια νόμιμη διεργασία των Windows σε κατάσταση αναστολής, εισάγει shellcode απευθείας στη μνήμη της και συνεχίζει την εκτέλεση. Αυτή η μέθοδος διασφαλίζει ότι το κακόβουλο ωφέλιμο φορτίο εκτελείται εντός μιας αξιόπιστης διεργασίας χωρίς να γράφει μια αποκωδικοποιημένη έκδοση στο δίσκο, μειώνοντας σημαντικά το εγκληματολογικό του αποτύπωμα.

Μηχανισμοί επίμονης κλοπής διαπιστευτηρίων

Το DeepLoad έχει σχεδιαστεί για να εξάγει ευαίσθητα δεδομένα χρήστη αμέσως μετά την εκτέλεση. Οι δυνατότητές του περιλαμβάνουν:

  • Συλλογή αποθηκευμένων κωδικών πρόσβασης προγράμματος περιήγησης απευθείας από το μολυσμένο σύστημα
  • Ανάπτυξη μιας κακόβουλης επέκτασης προγράμματος περιήγησης που καταγράφει διαπιστευτήρια σε πραγματικό χρόνο κατά τη διάρκεια προσπαθειών σύνδεσης και παραμένει σε όλες τις περιόδους σύνδεσης, εκτός εάν αφαιρεθεί χειροκίνητα.

    • Πλευρική Διάδοση μέσω Αφαιρούμενων Μέσων

    Το κακόβουλο λογισμικό ενσωματώνει τεχνικές διάδοσης που έχουν σχεδιαστεί για την εκμετάλλευση αφαιρούμενων συσκευών αποθήκευσης. Μόλις εντοπίσει μονάδες USB ή παρόμοια μέσα, αντιγράφει κακόβουλα αρχεία συντομεύσεων που μεταμφιέζονται σε νόμιμα προγράμματα εγκατάστασης. Αυτά τα αρχεία ονομάζονται έτσι ώστε να φαίνονται αξιόπιστα, αυξάνοντας την πιθανότητα αλληλεπίδρασης του χρήστη και περαιτέρω μόλυνσης.

    Σιωπηλή Επανμόλυνση Μέσω Κατάχρησης WMI

    Το DeepLoad δημιουργεί persistence χρησιμοποιώντας τα Windows Management Instrumentation (WMI). Δημιουργεί εγγραφές σε συμβάντα που ενεργοποιούν την επαναμόλυνση μετά από καθυστέρηση τριών ημερών, χωρίς να απαιτείται αλληλεπίδραση χρήστη ή συμμετοχή εισβολέα. Αυτή η τεχνική διαταράσσει επίσης τα παραδοσιακά μοντέλα ανίχνευσης, διακόπτοντας τις αναμενόμενες σχέσεις διεργασίας γονέα-παιδιού.

    Στρατηγικός Στόχος: Πλήρης Κάλυψη της Αλυσίδας Σκοτώματος

    Ο συνολικός σχεδιασμός του DeepLoad υποδεικνύει ένα πολυλειτουργικό πλαίσιο κακόβουλου λογισμικού ικανό να εκτελεί ενέργειες σε ολόκληρη την αλυσίδα εξόντωσης στον κυβερνοχώρο. Η επιχειρησιακή του στρατηγική επικεντρώνεται στα εξής:

    • Αποφυγή δημιουργίας αντικειμένων που βασίζονται σε δίσκους για τη μείωση των ευκαιριών ανίχνευσης
    • Ανάμειξη κακόβουλης δραστηριότητας σε νόμιμες διεργασίες των Windows
    • Ταχεία διάδοση σε όλα τα συστήματα για επέκταση του αποτυπώματός του

    Δείκτες ενός κλιμακώσιμου πλαισίου απειλών

    Η υποδομή και ο αρθρωτός σχεδιασμός που σχετίζονται με το DeepLoad υποδηλώνουν την πιθανότητα ενός μοντέλου ανάπτυξης που βασίζεται σε κοινόχρηστες υπηρεσίες ή υπηρεσίες. Ενώ τα χαρακτηριστικά είναι συμβατά με τις προσφορές Malware-as-a-Service (MaaS), προς το παρόν δεν υπάρχουν επαρκή στοιχεία για να επιβεβαιωθεί οριστικά αυτή η ταξινόμηση.

    Τάσεις

    Σφάλμα HTTP 401 - Απάτη μέσω email με μη έγκυρο...

    Phishing, Ανεπιθύμητη αλληλογραφία
    Τα μη αναμενόμενα email που απαιτούν άμεση δράση είναι μια κοινή τακτική που χρησιμοποιούν οι κυβερνοεγκληματίες για να χειραγωγήσουν ανυποψίαστους παραλήπτες. Τα μηνύματα που ισχυρίζονται επείγοντα τεχνικά προβλήματα ή προβλήματα λογαριασμού συχνά επιχειρούν να προκαλέσουν πανικό, με αποτέλεσμα οι χρήστες να αντιδρούν χωρίς να επαληθεύουν τις πληροφορίες. Για αυτόν τον λόγο, είναι σημαντικό να...

    Περισσότερες εμφανίσεις

    Φόρτωση...