Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό VOID#GEIST Κακόβουλο λογισμικό

VOID#GEIST Κακόβουλο λογισμικό

Μέχρι το Mezo το Κακόβουλο λογισμικό, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη καμπάνια κακόβουλου λογισμικού πολλαπλών σταδίων που βασίζεται σε δέσμες ενεργειών (batch scripts) για την παράδοση κρυπτογραφημένων φορτίων trojan απομακρυσμένης πρόσβασης (RAT). Η καμπάνια, που προσδιορίζεται ως VOID#GEIST, αναπτύσσει διάφορες οικογένειες RAT, συμπεριλαμβανομένων των XWorm, AsyncRAT και Xeno RAT.

Η αλυσίδα επίθεσης αξιοποιεί ένα ασαφές σενάριο δέσμης που ξεκινά μια ακολουθία ενεργειών που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό. Αυτές οι ενέργειες περιλαμβάνουν την εκκίνηση ενός πρόσθετου σεναρίου δέσμης, την προετοιμασία ενός νόμιμου ενσωματωμένου περιβάλλοντος εκτέλεσης Python και την αποκρυπτογράφηση κρυπτογραφημένων φορτίων shellcode. Ο κώδικας shell εκτελείται απευθείας στη μνήμη αφού εισαχθεί σε ξεχωριστές παρουσίες της διεργασίας explorer.exe των Windows χρησιμοποιώντας μια τεχνική γνωστή ως έγχυση Early Bird Asynchronous Procedure Call (APC).

Παράδοση κακόβουλου λογισμικού που βασίζεται σε script: Ένα σύγχρονο μοντέλο απειλής

Οι σύγχρονοι απειλητικοί παράγοντες εγκαταλείπουν ολοένα και περισσότερο το παραδοσιακό αυτόνομο εκτελέσιμο κακόβουλο λογισμικό υπέρ πολυεπίπεδων, βασισμένων σε script frameworks παράδοσης που μιμούνται τη νόμιμη συμπεριφορά των χρηστών. Αντί να αναπτύσσουν συμβατικά δυαδικά αρχεία Portable Executable (PE), οι επιτιθέμενοι ενορχηστρώνουν αγωγούς πολλαπλών στοιχείων που συνδυάζουν διάφορες νόμιμες τεχνολογίες και περιβάλλοντα scripting.

Τυπικά στοιχεία που χρησιμοποιούνται σε αυτά τα πλαίσια περιλαμβάνουν:

  • Σενάρια δέσμης που χρησιμοποιούνται για την ενορχήστρωση της ακολουθίας μόλυνσης.
  • Εντολές PowerShell που διευκολύνουν την αθόρυβη σταδιοποίηση ωφέλιμου φορτίου.
  • Ενσωματωμένα νόμιμα runtimes που διασφαλίζουν τη φορητότητα σε όλα τα συστήματα.
  • Ακατέργαστος κώδικας shell που εκτελείται απευθείας στη μνήμη για διατήρηση της επιμονής και του ελέγχου.

Αυτή η προσέγγιση εκτέλεσης χωρίς αρχεία μειώνει σημαντικά τις ευκαιρίες για ανίχνευση μέσω δίσκου. Κάθε μεμονωμένο στάδιο φαίνεται σχετικά ακίνδυνο όταν εξετάζεται ανεξάρτητα και συχνά μοιάζει με συνήθη διοικητική δραστηριότητα, επιτρέποντας στους απειλητικούς παράγοντες να λειτουργούν σε παραβιασμένα περιβάλλοντα χωρίς να ενεργοποιούν άμεσες ειδοποιήσεις ασφαλείας.

Αρχική πρόσβαση μέσω υποδομής ηλεκτρονικού “ψαρέματος” (phishing) και Cloudflare

Το σημείο εισόδου της επίθεσης ξεκινά με ένα κακόβουλο σενάριο παρτίδας που παραδίδεται μέσω email ηλεκτρονικού "ψαρέματος" (phishing). Το σενάριο ανακτάται από υποδομή που φιλοξενείται σε έναν τομέα TryCloudflare. Μόλις εκτελεστεί, το σενάριο αποφεύγει σκόπιμα τις προσπάθειες κλιμάκωσης δικαιωμάτων και αντ' αυτού λειτουργεί αυστηρά εντός των ορίων δικαιωμάτων του χρήστη που είναι συνδεδεμένος τη δεδομένη στιγμή.

Αυτή η στρατηγική επιτρέπει στο κακόβουλο λογισμικό να εδραιώσει την αρχική του θέση ενώ παράλληλα ενσωματώνεται σε συνήθεις λειτουργίες σε επίπεδο χρήστη. Αποφεύγοντας ενέργειες που απαιτούν αυξημένα δικαιώματα, η επίθεση μειώνει την πιθανότητα ενεργοποίησης προειδοποιήσεων ασφαλείας ή διαχειριστικών μηνυμάτων.

Τεχνικές Οπτικής Απόσπασης της Σύγχυσης και Αθόρυβης Εκτέλεσης

Μετά την εκτέλεση, το πρώτο στάδιο του κακόβουλου λογισμικού εκτοξεύει ένα έγγραφο-δόλωμα για να αποσπάσει την προσοχή του θύματος. Το Google Chrome ανοίγει σε λειτουργία πλήρους οθόνης για να εμφανίσει ένα οικονομικό έγγραφο ή τιμολόγιο που παρουσιάζεται ως PDF. Ενώ ο χρήστης εστιάζει στο έγγραφο, η κακόβουλη δραστηριότητα συνεχίζεται στο παρασκήνιο.

Ταυτόχρονα, εκτελείται μια εντολή PowerShell για την επανεκκίνηση του αρχικού σεναρίου δέσμης με κρυφές παραμέτρους εκτέλεσης. Η χρήση της παραμέτρου -WindowStyle Hidden αποτρέπει την εμφάνιση ενός ορατού παραθύρου κονσόλας, διασφαλίζοντας ότι η κακόβουλη δραστηριότητα παραμένει κρυφή από τον χρήστη.

Επιμονή μέσω εκτέλεσης εκκίνησης σε επίπεδο χρήστη

Για να διατηρήσει την επιμονή μετά την επανεκκίνηση του συστήματος, το κακόβουλο λογισμικό αναπτύσσει ένα βοηθητικό δέσμη ενεργειών στον κατάλογο εκκίνησης του χρήστη των Windows. Αυτή η τοποθεσία διασφαλίζει ότι το σενάριο εκτελείται αυτόματα κάθε φορά που το θύμα συνδέεται στο σύστημα.

Αυτός ο μηχανισμός επιμονής είναι σκόπιμα ανεπαίσθητος. Αντί να χρησιμοποιεί πιο παρεμβατικές τεχνικές όπως η τροποποίηση κλειδιών μητρώου συστήματος, η δημιουργία προγραμματισμένων εργασιών ή η εγκατάσταση υπηρεσιών, το κακόβουλο λογισμικό βασίζεται αποκλειστικά σε τυπική συμπεριφορά εκκίνησης σε επίπεδο χρήστη. Επειδή η προσέγγιση λειτουργεί εξ ολοκλήρου στο πλαίσιο των δικαιωμάτων του τρέχοντος χρήστη, αποφεύγει την ενεργοποίηση προτροπών κλιμάκωσης δικαιωμάτων και μειώνει την πιθανότητα ανίχνευσης από εργαλεία παρακολούθησης μητρώου.

Πλαίσιο ανάκτησης και αποκρυπτογράφησης ωφέλιμου φορτίου

Κατά το επόμενο στάδιο της αλυσίδας μόλυνσης, το κακόβουλο λογισμικό επικοινωνεί με έναν τομέα TryCloudflare για να ανακτήσει πρόσθετα στοιχεία ωφέλιμου φορτίου που είναι συσκευασμένα σε αρχεία ZIP. Αυτά τα αρχεία περιέχουν τις ενότητες που απαιτούνται για την αποκρυπτογράφηση και την εκτέλεση των τελικών φορτίων κακόβουλου λογισμικού.

Το αρχείο που έχετε κατεβάσει συνήθως περιέχει τα ακόλουθα στοιχεία:

  • runn.py – ένας φορτωτής που βασίζεται σε Python και είναι υπεύθυνος για την αποκρυπτογράφηση και την εισαγωγή κρυπτογραφημένων ενοτήτων shellcode στη μνήμη.
  • new.bin – κρυπτογραφημένο φορτίο shellcode που σχετίζεται με το XWorm
  • xn.bin – κρυπτογραφημένο φορτίο shellcode που αντιστοιχεί στο Xeno RAT
  • pul.bin – κρυπτογραφημένο φορτίο shellcode που αντιστοιχεί στο AsyncRAT
  • a.json, n.json και p.json – αρχεία κλειδιών που χρησιμοποιούνται από τον φορτωτή Python για την δυναμική αποκρυπτογράφηση των φορτίων shellcode κατά τη διάρκεια του χρόνου εκτέλεσης.

Αυτός ο αρθρωτός σχεδιασμός επιτρέπει στους επιτιθέμενους να οργανώνουν διαφορετικά ωφέλιμα φορτία ανεξάρτητα και να τα ενεργοποιούν μόνο όταν απαιτείται.

Ενσωματωμένο Python Runtime για φορητότητα και μυστικότητα

Μόλις εξαχθεί το αρχείο, το κακόβουλο λογισμικό αναπτύσσει ένα νόμιμο ενσωματωμένο runtime Python που λαμβάνεται απευθείας από το python.org. Η ενσωμάτωση ενός νόμιμου διερμηνέα εξαλείφει την εξάρτηση από οποιαδήποτε εγκατάσταση Python που ενδέχεται να υπάρχει ήδη στο παραβιασμένο σύστημα.

Από την οπτική γωνία ενός εισβολέα, αυτό το βήμα παρέχει πολλά στρατηγικά πλεονεκτήματα. Το κακόβουλο λογισμικό γίνεται ένα αυτοτελές περιβάλλον εκτέλεσης ικανό να αποκρυπτογραφεί και να εισάγει ωφέλιμα φορτία χωρίς να απαιτεί εξωτερικές εξαρτήσεις. Αυτό βελτιώνει τη φορητότητα σε διαφορετικά συστήματα, ενισχύει την αξιοπιστία και συμβάλλει στην επιχειρησιακή μυστικότητα χρησιμοποιώντας νόμιμα στοιχεία λογισμικού.

Εκτέλεση πολλαπλών φορτίων RAT στη μνήμη

Το ενσωματωμένο runtime Python χρησιμοποιείται στη συνέχεια για την εκτέλεση του σεναρίου φόρτωσης runn.py. Το πρόγραμμα φόρτωσης αποκρυπτογραφεί τον κώδικα shell που σχετίζεται με το XWorm και τον εισάγει σε μια εκτελούμενη παρουσία του explorer.exe χρησιμοποιώντας την ένεση Early Bird APC.

Για την ανάπτυξη του Xeno RAT, το κακόβουλο λογισμικό αξιοποιεί ένα νόμιμο δυαδικό αρχείο της Microsoft που ονομάζεται AppInstallerPythonRedirector.exe, το οποίο χρησιμοποιείται για την κλήση της Python και την εκτέλεση των απαιτούμενων στοιχείων. Η ίδια τεχνική έγχυσης επαναχρησιμοποιείται στη συνέχεια για την ανάπτυξη του AsyncRAT, διασφαλίζοντας ότι όλα τα ωφέλιμα φορτία εκτελούνται εξ ολοκλήρου στη μνήμη χωρίς να αφήνουν παραδοσιακά εκτελέσιμα αντικείμενα στο δίσκο.

Σήμανση εντολών και ελέγχου και αρθρωτή αρχιτεκτονική

Το τελικό στάδιο της επίθεσης περιλαμβάνει την αποστολή ενός ελάχιστου HTTP beacon στην υποδομή Command-and-Control (C2) που ελέγχεται από τον εισβολέα και φιλοξενείται στο TryCloudflare. Αυτό το beacon επιβεβαιώνει ότι το σύστημα έχει παραβιαστεί με επιτυχία και είναι έτοιμο να λάβει περαιτέρω οδηγίες.

Παρόλο που οι συγκεκριμένοι στόχοι της καμπάνιας παραμένουν άγνωστοι, η αλυσίδα μόλυνσης επιδεικνύει μια εξαιρετικά αρθρωτή αρχιτεκτονική. Αντί να αναπτύξουν ένα μόνο μεγάλο φορτίο κακόβουλου λογισμικού, οι εισβολείς εισάγουν στοιχεία σταδιακά σε πολλαπλά στάδια. Αυτός ο σχεδιασμός βελτιώνει την επιχειρησιακή ευελιξία και ανθεκτικότητα.

Από την άποψη της ανίχνευσης, ένας αξιοσημείωτος δείκτης συμπεριφοράς αναδύεται σε όλη την καμπάνια: η επαναλαμβανόμενη εισαγωγή διεργασιών στο explorer.exe σε σύντομα χρονικά διαστήματα. Αυτό το μοτίβο μπορεί να χρησιμεύσει ως ισχυρό σήμα για τους υπερασπιστές που προσπαθούν να συσχετίσουν ύποπτη δραστηριότητα σε διαφορετικά στάδια του κύκλου ζωής της επίθεσης.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
22,467
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...