BabbleLoaderi pahavara

Aastaks Mezo aastal Pahavara

Tõlgi:

Küberturvalisuse eksperdid on tuvastanud uue, väga varjatud ohu, mida tuntakse nime all BabbleLoader, mille puhul on täheldatud teabevarguse tööriistade, nagu White S nake ja Meduza , juurutamist.

BabbleLoader kasutab täiustatud kõrvalehoidmistaktikat, mis sisaldab tugevaid kaitsemehhanisme viirusetõrjeprogrammidest ja liivakastikeskkondadest möödahiilimiseks. Selle eesmärk on laadida stealers otse mällu. Aruanded näitavad, et BabbleLoaderit on kasutatud mitmes kampaanias, mis sihivad inglise ja vene keelt kõnelevat vaatajaskonda. Need toimingud keskenduvad peamiselt mõranenud tarkvara otsivatele kasutajatele ning finants- ja administraatorirollidel tegutsevatele äriprofessionaalidele, maskeerides end raamatupidamistarkvaraks.

Sisukord

Laadijate roll pahavara rünnakutes

Laadijatest on saanud laialdaselt kasutatav meetod selliste ohtude juurutamiseks nagu vargused ja lunavara, mis on sageli rünnaku algfaasiks. Need on loodud selleks, et vältida traditsioonilist viirusetõrje tuvastamist, integreerides ulatuslikud analüüsi- ja liivakastivastased tehnikad.

See suundumus ilmneb uute laadurite perekondade pidevas esilekerkimises viimastel aastatel. Näiteks Dolphin Loader, Emmental, FakeBat ja Hijack Loader , mida on kasutatud erinevate kasulike koormuste levitamiseks, sealhulgas CryptBot , Lumma Stealer , SectopRAT , SmokeLoader ja Ursnif .

BabbleLoader on varustatud paljude kõrvalehoidmise tehnikatega

BabbleLoader paistab silma oma keeruliste kõrvalehoidmistehnikate poolest, mis võivad petta nii traditsioonilisi kui ka tehisintellektipõhiseid tuvastussüsteeme. Need meetodid hõlmavad rämpskoodi ja metamorfsete teisenduste kasutamist, mis muudavad laadija struktuuri ja täitmisvoogu, et mööduda allkirjapõhistest ja käitumisanalüüsidest.

Laadija väldib staatilist analüüsi, lahendades kriitilised funktsioonid ainult käitusajal ja rakendab meetmeid liivakastipõhiste uuringute nurjamiseks. Lisaks sisaldab see ülemäära palju mõttetut koodi, mis on mõeldud lahtivõtmis- või dekompileerimistööriistade, nagu IDA, Ghidra ja Binary Ninja, ülekoormamiseks ja kokkujooksmiseks, mistõttu on vaja käsitsi analüüsida.

Iga BabbleLoaderi iteratsioon on ainulaadselt koostatud, sisaldades erinevaid stringe, metaandmeid, koodi, räsisid, krüpteerimismeetodeid ja juhtimisvooge. Kuigi üksikutel näidistel on minimaalselt koodilõike, on nende struktuurid peamiselt ainulaadsed. Isegi faili metaandmed randomiseeritakse täiendavate varjatud mustrite saamiseks.

See pidev varieerumine sunnib tehisintellekti tuvastamise mudeleid pidevalt kohanema, mille tulemuseks on sageli tuvastamata jäämine või valepositiivsed tulemused laaduri konstruktsiooni kiirete ja ettearvamatute muutuste tõttu.

BabbleLoader sillutab teed süsteemide edasistele kompromissidele

Oma põhiolemuselt on BabbleLoader loodud shellkoodi laadimiseks, mis seejärel dekrüpteerib ja edastab Donut laadija, mis seejärel varastab pahavara lahti ja aktiveerib.

Mida tõhusamalt suudavad laadurid lõplikke kasulikke koormusi kaitsta, seda vähem ressursse peavad ründajad investeerima ohustatud infrastruktuuri pöörlemisse. BabbleLoader kasutab tuvastamise eest kaitsmiseks erinevaid tehnikaid, võimaldades tal püsida konkurentsivõimelisena ülerahvastatud laadimis- ja krüptimaastikul.